Các nhà nghiên cứu bảo mật từ Team Z3 đã rút lại kế hoạch trình diễn khai thác lỗ hổng zero-day zero-click Remote Code Execution (RCE) trong WhatsApp tại cuộc thi tấn công Pwn2Own Ireland 2025. Quyết định này được đưa ra nhằm ưu tiên tiết lộ thông tin một cách phối hợp và riêng tư cho Meta, công ty mẹ của WhatsApp.

Chi tiết về Lỗ hổng Zero-day Zero-Click Remote Code Execution trong WhatsApp

Cuộc khai thác này, nếu được trình diễn thành công, được dự kiến sẽ mang về khoản tiền thưởng kỷ lục lên tới 1 triệu USD. Đây là một trong những màn trình diễn được mong đợi nhất tại sự kiện kéo dài ba ngày, diễn ra tại Cork, Ireland, từ ngày 21-23 tháng 10.

Việc rút lui đã gây ra sự thất vọng cho cả khán giả trực tiếp và các đối thủ cạnh tranh. Khai thác WhatsApp được xem là “viên ngọc quý” của cuộc thi và có tiềm năng là khoản thanh toán cá nhân lớn nhất trong lịch sử Pwn2Own.

Bản chất và Tác động của Khai thác Remote Code Execution

Lỗ hổng được phát hiện thuộc loại zero-click Remote Code Execution (RCE). Điều này có nghĩa là nó không yêu cầu bất kỳ tương tác nào từ phía người dùng để xâm phạm thiết bị.

Các khai thác zero-click gây ra rủi ro đặc biệt nghiêm trọng. Chúng đã từng bị vũ khí hóa trong các chiến dịch phần mềm gián điệp nhắm vào các cá nhân cấp cao, chứng tỏ khả năng tấn công tinh vi và khó phát hiện.

• Loại lỗ hổng: Zero-click Remote Code Execution (RCE).
• Ứng dụng mục tiêu: WhatsApp, một trong những nền tảng liên lạc phổ biến nhất toàn cầu.
• Đặc tính nguy hiểm: Không yêu cầu tương tác người dùng, khả năng chiếm quyền điều khiển hệ thống từ xa.

Giá trị Giải thưởng và Sự kỳ vọng tại Pwn2Own

Pwn2Own nổi tiếng là một sự kiện cạnh tranh gay gắt, nơi các nhà nghiên cứu bảo mật trình diễn khả năng khai thác các lỗ hổng zero-day chưa được biết đến. Giá trị giải thưởng cao phản ánh mức độ phức tạp và tác động tiềm tàng của lỗ hổng được phát hiện.

Khoản tiền thưởng 1 triệu USD cho lỗ hổng WhatsApp nhấn mạnh sự quý giá của loại lỗ hổng này. Nó cũng thể hiện tầm quan trọng của việc phát hiện và khắc phục các điểm yếu trong các ứng dụng được sử dụng rộng rãi.

Quyết định Rút lui và Cơ chế Tiết lộ có Trách nhiệm về Lỗ hổng Zero-day

Theo Zero Day Initiative (ZDI), đơn vị tổ chức sự kiện, Team Z3 cảm thấy nghiên cứu của họ chưa sẵn sàng cho một màn trình diễn công khai trực tiếp. Quyết định này thể hiện sự cẩn trọng và trách nhiệm trong lĩnh vực nghiên cứu bảo mật.

Lý do rút lui từ Team Z3

Team Z3 đánh giá rằng việc trình diễn trực tiếp một lỗ hổng quan trọng như vậy cần sự chuẩn bị kỹ lưỡng hơn. Mặc dù sự rút lui gây thất vọng, nó phản ánh một tiêu chuẩn cao về tính chính xác và độ tin cậy trong các phát hiện bảo mật.

Thay vì trình diễn, các nhà nghiên cứu đã chọn một con đường an toàn hơn. Họ quyết định hợp tác trực tiếp với nhà cung cấp để đảm bảo khắc phục lỗ hổng một cách hiệu quả nhất.

Vai trò trung gian của Zero Day Initiative (ZDI)

ZDI đã đóng một vai trò quan trọng trong việc tạo điều kiện cho kênh tiết lộ riêng tư này. Các nhà phân tích của ZDI sẽ tiến hành đánh giá ban đầu về phát hiện của Team Z3.

Sau đó, các phát hiện sẽ được chuyển giao cho các kỹ sư của Meta. Quy trình này đảm bảo một phản ứng có cấu trúc đối với bất kỳ lỗi nào được xác thực, tối đa hóa hiệu quả của việc vá lỗi.

Để tìm hiểu thêm về các quy trình và hoạt động của Pwn2Own, bạn có thể tham khảo thêm tại Zero Day Initiative Pwn2Own.

Cam kết của Meta và Bảo vệ Người dùng khỏi Lỗ hổng Zero-day

Meta đã bày tỏ sự quan tâm liên tục đến các phát hiện này và tái khẳng định cam kết tăng cường khả năng phòng thủ của WhatsApp chống lại các mối đe dọa tinh vi. Điều này thể hiện sự hợp tác giữa nhà nghiên cứu và nhà cung cấp.

ZDI đặt mục tiêu cung cấp cho Meta thời gian lên đến 90 ngày sau sự kiện để phát triển bản vá bảo mật. Thời gian này là cần thiết để khắc phục các vấn đề trước khi thông tin về lỗ hổng zero-day được tiết lộ công khai, phù hợp với các chuẩn mực đạo đức của hacker và quy tắc tiết lộ có trách nhiệm.

Quyết định ưu tiên tiết lộ có trách nhiệm thay vì một màn trình diễn công khai cho thấy sự trưởng thành của nghiên cứu lỗ hổng hiện đại. Cách tiếp cận này có khả năng ngăn chặn thiệt hại diện rộng cho hàng tỷ người dùng WhatsApp trên toàn cầu.

Tổng kết Pwn2Own Ireland 2025 và Ý nghĩa đối với An ninh Mạng

Mặc dù màn trình diễn lỗ hổng WhatsApp không thành hiện thực, Pwn2Own Ireland 2025 vẫn là một sự kiện thành công. Sự kiện đã trao tổng cộng 1.024.750 USD tiền thưởng cho 73 lỗ hổng zero-day độc đáo được phát hiện trên nhiều thiết bị khác nhau.

Các Lỗ hổng Zero-day khác được phát hiện

Các cuộc khai thác thành công đã nhắm vào nhiều hệ thống và thiết bị phổ biến, bao gồm:

• Điện thoại thông minh Samsung Galaxy S25.
• Thiết bị nhà thông minh Philips Hue Bridge.
• Máy in Lexmark và Canon.
• Hệ thống lưu trữ gắn mạng QNAP (NAS).
• Camera giám sát Ubiquiti.

Thúc đẩy An ninh mạng và Bản vá Bảo mật

Sự kiện này đã thể hiện bối cảnh phát triển của các chương trình săn lỗi nhận thưởng (bug bounties) và quy trình tiết lộ phối hợp trong an ninh mạng. Các nhà cung cấp ngày càng nhận thức được tầm quan trọng của việc hợp tác với các nhà nghiên cứu bảo mật.

Mục tiêu là xác định các lỗ hổng zero-day trước khi những kẻ tấn công độc hại có thể khai thác chúng. Câu chuyện về lỗ hổng WhatsApp là một lời nhắc nhở mạnh mẽ về những rủi ro tiềm ẩn trong các ứng dụng liên lạc phổ biến được sử dụng bởi ba tỷ người trên toàn thế giới, đồng thời nhấn mạnh vai trò của việc áp dụng các bản vá bảo mật kịp thời.