Một lỗ hổng zero-day remote code execution (RCE) mới được phát hiện trong WhatsApp đang đe dọa hàng triệu người dùng Apple. Các nhà nghiên cứu từ DarkNavyOrg đã trình diễn một bản khai thác proof-of-concept (PoC) lợi dụng hai lỗ hổng riêng biệt để xâm nhập các thiết bị iOS, macOS và iPadOS mà không yêu cầu bất kỳ tương tác nào từ phía người dùng.

Tổng quan về Lỗ hổng Zero-Click RCE trong WhatsApp

Cuộc tấn công bắt đầu với CVE-2025-55177, một lỗi logic nghiêm trọng trong quá trình xử lý tin nhắn của WhatsApp. Theo DarkNavyOrg, WhatsApp đã không xác thực việc tin nhắn đến có thực sự bắt nguồn từ một thiết bị đã liên kết hay không.

Thiếu sót trong kiểm tra này cho phép kẻ tấn công tạo ra các tin nhắn giả mạo, trông như thể chúng đến từ tài khoản đáng tin cậy của chính người dùng. Ngay khi WhatsApp xử lý tin nhắn giả mạo, tải trọng độc hại sẽ được gửi đi một cách liền mạch, kích hoạt lỗ hổng zero-day.

Chuỗi Tấn công và Cơ chế Khai thác

CVE-2025-55177: Lỗi Logic Xử lý Tin nhắn

Vấn đề chính của CVE-2025-55177 nằm ở việc thiếu xác thực nguồn gốc tin nhắn. Kẻ tấn công có thể lợi dụng điều này để gửi các tin nhắn được chế tạo đặc biệt, vượt qua các lớp bảo mật ban đầu của ứng dụng.

WhatsApp coi tin nhắn này là hợp lệ vì nó xuất phát từ một “thiết bị đã liên kết” ảo, dẫn đến việc xử lý nội dung độc hại mà không có cảnh báo.

CVE-2025-43300: Lỗi Phân tích Cú pháp Ảnh DNG

Khi tin nhắn độc hại vượt qua được các bộ lọc bảo mật ban đầu, bản khai thác sẽ kích hoạt CVE-2025-43300, một lỗ hổng nghiêm trọng trong thư viện phân tích cú pháp ảnh DNG (Digital Negative) của WhatsApp. Kẻ tấn công sẽ nhúng một ảnh DNG bị định dạng sai (malformed DNG) vào tin nhắn.

Khi WhatsApp tự động xử lý hình ảnh này, DNG bị lỗi sẽ gây ra lỗi hỏng bộ nhớ (memory corruption). Lỗi này dẫn đến việc thực thi mã từ xa (remote code execution), cho phép kẻ tấn công kiểm soát hoàn toàn thiết bị mục tiêu.

Kịch bản Khai thác PoC của DarkNavyOrg

Bản PoC của DarkNavyOrg tự động hóa toàn bộ quá trình tấn công. Một script sẽ đăng nhập vào WhatsApp, tạo ra hình ảnh DNG bị định dạng sai và gửi nó đến số điện thoại của nạn nhân.

Cuộc tấn công được thực hiện một cách im lặng: người nhận không bao giờ thấy thông báo, bản xem trước tin nhắn hoặc bất kỳ dấu hiệu nào của việc bị xâm phạm. Kết quả là, thiết bị bị kiểm soát hoàn toàn bởi kẻ tấn công mà không có bất kỳ dấu hiệu rõ ràng nào.

Tác động và Rủi ro Hệ thống

Tác động tiềm ẩn của lỗ hổng zero-day RCE này là vô cùng nghiêm trọng. Kẻ tấn công có toàn quyền kiểm soát thiết bị mục tiêu có thể:

• Chặn tin nhắn.
• Đánh cắp ảnh.
• Ghi âm cuộc gọi.
• Cài đặt phần mềm độc hại bổ sung.

Vì bản khai thác hoạt động trên toàn bộ hệ sinh thái của Apple, nó ảnh hưởng đến các thiết bị iPhone, iPad và máy tính Mac. Bản chất tàng hình của cuộc tấn công có nghĩa là ngay cả những người dùng cực kỳ cảnh giác cũng có thể bị xâm phạm bởi lỗ hổng zero-day này.

Nguyên nhân Gốc và Phân tích Kỹ thuật

Các lỗi phân tích cú pháp tệp là nguyên nhân quen thuộc của các lỗ hổng RCE. Các định dạng hình ảnh phức tạp như DNG thường bao gồm nhiều phần siêu dữ liệu được nhúng. Một thẻ bị định dạng sai duy nhất có thể làm gián đoạn việc quản lý bộ nhớ, dẫn đến các điều kiện có thể khai thác được.

Các ứng dụng nhắn tin đa nền tảng tự động xử lý các loại tệp này, tạo ra một vectơ tấn công mạnh mẽ khi các kiểm tra xác thực không đầy đủ. Lỗ hổng zero-day này nhấn mạnh tầm quan trọng của việc xác thực nghiêm ngặt mọi dữ liệu đầu vào.

Cảnh báo CVE và Các nghiên cứu liên quan

DarkNavyOrg tiếp tục phân tích các lỗ hổng liên quan, bao gồm một lỗi dành riêng cho Samsung (CVE-2025-21043) cũng khai thác cơ chế zero-click tương tự. Các cảnh báo CVE này đóng vai trò quan trọng trong việc nâng cao nhận thức về các mối đe dọa tiềm ẩn.

WhatsApp và Apple đã được thông báo về hai lỗi nghiêm trọng này. Để biết thêm thông tin về các lỗ hổng đã được công bố, người đọc có thể tham khảo National Vulnerability Database (NVD).

Biện pháp Phòng ngừa và Cập nhật Bản vá

Người dùng nên cập nhật WhatsApp lên phiên bản mới nhất và cài đặt các bản vá bảo mật iOS, macOS hoặc iPadOS mới nhất ngay khi chúng được phát hành. Đây là bước phòng thủ quan trọng nhất để chống lại lỗ hổng zero-day.

Cho đến khi các bản vá được cung cấp, hãy tránh mở các tin nhắn hoặc hình ảnh đáng ngờ, ngay cả từ các liên hệ đáng tin cậy. Mặc dù cuộc tấn công này không yêu cầu tương tác của người dùng, việc hạn chế tiếp xúc với các tệp không mong muốn có thể giảm thiểu rủi ro.

Các doanh nghiệp nên xem xét lại các chính sách bảo mật di động và cân nhắc giám sát bổ sung đối với lưu lượng WhatsApp bất thường để chủ động phát hiện và ứng phó với lỗ hổng zero-day tiềm tàng.

Lỗ hổng zero-day RCE trong WhatsApp cho thấy những thách thức liên tục trong việc bảo mật quá trình xử lý tệp tự động trong các ứng dụng nhắn tin. Khi kẻ tấn công tinh chỉnh các kỹ thuật để bỏ qua tương tác của người dùng, xác thực mạnh mẽ và triển khai bản vá nhanh chóng vẫn là biện pháp phòng thủ tốt nhất chống lại các cuộc khai thác im lặng và tàn khốc.