Một lỗ hổng bảo mật nghiêm trọng vừa được phát hiện, ảnh hưởng đến người dùng WhatsApp Desktop trên hệ điều hành Windows đã cài đặt Python. Kẻ tấn công có khả năng khai thác một điểm yếu trong cách WhatsApp Desktop xử lý các tệp định dạng .pyz (Python archive), cho phép thực thi mã tùy ý (arbitrary code execution) trên máy tính nạn nhân chỉ bằng một cú nhấp chuột.

Các nhà nghiên cứu đã phát hiện ra rằng một tệp .pyz được tạo thủ công với mục đích xấu – vốn thường được dùng để đóng gói các ứng dụng Python – có thể bị ngụy trang thành một tệp đính kèm vô hại. Ví dụ, nó có thể được đặt tên là profile_update.pyz và được gửi qua tính năng truyền tệp của WhatsApp Desktop. Điều này đặt ra một nguy cơ đáng kể về an toàn thông tin cho những người dùng.

Khai Thác Lỗ Hổng WhatsApp Desktop qua Tệp .pyz

Cơ Chế Tấn Công và Thực Thi Mã Độc

Khi người dùng tải xuống và nhấp đúp vào tệp .pyz độc hại, hệ điều hành Windows sẽ tự động khởi chạy trình thông dịch Python được liên kết với phần mở rộng .pyz theo mặc định. Điều này xảy ra do WhatsApp Desktop dành cho Windows đăng ký phần mở rộng .pyz để mở bằng bản cài đặt Python của người dùng.

Vì tệp lưu trữ này chứa bytecode hoặc script Python, nó sẽ chạy mà không có bất kỳ lời nhắc hoặc cảnh báo bổ sung nào từ hệ thống. Điều này trực tiếp trao quyền kiểm soát cho kẻ tấn công, bỏ qua các lớp bảo vệ thông thường.

Không giống như các tệp thực thi (executable) hoặc script thông thường, các tệp .pyz xuất hiện dưới dạng các gói tệp đơn lẻ, không rõ ràng về nội dung bên trong. Điều này gây khó khăn cho người dùng không có chuyên môn kỹ thuật trong việc phân biệt giữa các payload hợp pháp và độc hại.

Tác Động và Nguy Cơ Chiếm Quyền Điều Khiển Từ Xa

Một kẻ tấn công có thể dễ dàng nhúng các loại mã độc như backdoor, ransomware, hoặc công cụ thu thập thông tin đăng nhập vào bên trong tệp lưu trữ .pyz. Khi được thực thi, payload độc hại có thể gây ra nhiều tác động nghiêm trọng.

• Cài đặt phần mềm độc hại không mong muốn trên hệ thống.
• Thu thập thông tin nhạy cảm, bao gồm dữ liệu cá nhân hoặc thông tin đăng nhập.
• Thiết lập backdoor để duy trì quyền truy cập trái phép.
• Khóa mã hóa các tệp tin và yêu cầu tiền chuộc (ransomware).
• Chiếm quyền điều khiển từ xa hoàn toàn máy tính của nạn nhân.

Do Python được cài đặt rộng rãi bởi các nhà phát triển và người dùng thành thạo (power users), một lượng lớn người dùng WhatsApp Desktop có thể vô tình nằm trong vùng nguy hiểm.

So Sánh với Telegram Desktop và Quan Điểm của Meta

Tiền Lệ từ Telegram Desktop

Vector tấn công này có nhiều điểm tương đồng với một lỗ hổng nghiêm trọng được phát hiện trong Telegram Desktop vào đầu năm nay. Trong trường hợp đó, ứng dụng Telegram trên Windows cũng cho phép các tệp .pyz độc hại được thực thi mà không cần xác nhận từ người dùng.

Telegram đã phát hành bản vá trong vòng vài ngày, thay đổi logic xử lý tệp để chặn các tệp lưu trữ Python hoặc nhắc nhở người dùng trước khi thực thi. Ngược lại, WhatsApp Desktop vẫn chưa triển khai các biện pháp bảo vệ tương tự.

Lập Trường của Meta về Lỗ Hổng

Meta, công ty mẹ của WhatsApp, đã xác nhận việc nhận được các báo cáo về lỗ hổng WhatsApp Desktop này. Tuy nhiên, họ hiện không phân loại hành vi xử lý tệp .pyz là một lỗ hổng bảo mật. Theo tuyên bố chính thức, các tệp lưu trữ Python được coi là “tệp thực thi do người dùng cung cấp”.

Meta cho rằng trách nhiệm thuộc về người dùng cuối trong việc tránh nhấp vào các tệp đính kèm không rõ nguồn gốc. Tuy nhiên, các chuyên gia bảo mật lại phản biện rằng lập trường này đã đánh giá thấp rủi ro do các định dạng đóng gói tệp gây ra, đặc biệt khi chúng có thể ngụy trang thành các nội dung lành tính. Tìm hiểu thêm về định dạng tệp .pyz (zipapp) trong Python.

Nếu không có các cơ chế chặn hoặc cảnh báo tích hợp, hàng triệu người dùng Windows vẫn dễ bị tổn thương trước nguy cơ chiếm quyền điều khiển từ xa.

Biện Pháp Phòng Ngừa và Khuyến Nghị An Toàn Thông Tin

Cho đến khi Meta phát hành một bản cập nhật để khắc phục lỗ hổng WhatsApp Desktop này, các chuyên gia bảo mật khuyến nghị người dùng nên thực hiện các biện pháp phòng ngừa sau đây:

• Hạn chế mở tệp đính kèm: Tuyệt đối không mở các tệp đính kèm có phần mở rộng .pyz từ các nguồn không xác định hoặc đáng ngờ trên WhatsApp Desktop.
• Xác minh nguồn gốc: Luôn xác minh nguồn gốc của bất kỳ tệp nào trước khi tải xuống và mở, ngay cả khi nó có vẻ đến từ một liên hệ đáng tin cậy.
• Quản lý liên kết tệp: Đối với người dùng nâng cao, cân nhắc gỡ bỏ liên kết mặc định của phần mở rộng .pyz với trình thông dịch Python nếu không thực sự cần thiết, hoặc cấu hình để luôn hỏi trước khi mở.
• Sử dụng giải pháp bảo mật: Đảm bảo hệ thống của bạn được trang bị phần mềm chống virus/malware mạnh mẽ và được cập nhật thường xuyên.
• Giáo dục người dùng: Nâng cao nhận thức về các mối đe dọa liên quan đến kỹ thuật xã hội và tệp đính kèm độc hại trong môi trường doanh nghiệp.

Xu Hướng Tấn Công Mới và Yêu Cầu Cập Nhật Bản Vá

Việc phát hiện ra khả năng thực thi mã dựa trên Python trong WhatsApp Desktop một lần nữa nhấn mạnh một xu hướng đang gia tăng. Đó là việc kẻ tấn công ngày càng chuyển hướng sang các công cụ phát triển và định dạng đóng gói hợp pháp để bỏ qua các biện pháp kiểm soát bảo mật truyền thống.

Với lập trường hiện tại của Meta đang trì hoãn một bản vá trực tiếp, cả các chuyên gia bảo mật doanh nghiệp và người dùng gia đình đều phải chủ động củng cố môi trường của mình để tăng cường an toàn thông tin. Các nhà nghiên cứu bảo mật hy vọng rằng nhận thức cộng đồng và áp lực từ người dùng sẽ buộc đội ngũ phát triển WhatsApp áp dụng các biện pháp phòng ngừa tương tự như những gì đã được áp dụng trong Telegram Desktop.