WhatsApp đã phát hành một cảnh báo bảo mật quan trọng, thông báo về một **lỗ hổng zero-day WhatsApp** mới được phát hiện, có mã định danh là CVE-2025-55177. Lỗ hổng này đã bị khai thác trong các cuộc tấn công zero-click tinh vi nhắm vào người dùng Mac và iOS. Sự kết hợp giữa lỗ hổng này với một lỗi cấp độ hệ điều hành khác, CVE-2025-43300, đã gây ra lo ngại nghiêm trọng về khả năng xâm phạm thiết bị và dữ liệu người dùng, bao gồm cả các tin nhắn nhạy cảm.

Phân tích kỹ thuật về lỗ hổng zero-day WhatsApp (CVE-2025-55177)

Cuộc điều tra nội bộ của WhatsApp, được trình bày chi tiết trong một tư vấn bảo mật vào thứ Sáu, đã làm sáng tỏ bản chất của lỗ hổng CVE-2025-55177. Lỗi này bắt nguồn từ sự “ủy quyền không đầy đủ của các tin nhắn đồng bộ hóa thiết bị được liên kết” (incomplete authorization of linked device synchronization messages).

Cụ thể, lỗ hổng này ảnh hưởng đến các phiên bản sau:

• WhatsApp cho iOS (trước phiên bản 2.25.21.73)
• WhatsApp Business cho iOS (trước phiên bản 2.25.21.78)
• WhatsApp cho Mac (trước phiên bản 2.25.21.78)

Lỗ hổng cho phép một người dùng không liên quan kích hoạt quá trình xử lý nội dung từ một URL tùy ý trên thiết bị mục tiêu. Điều đáng chú ý là cơ chế này không yêu cầu bất kỳ tương tác nào từ phía người dùng, do đó được gọi là tấn công zero-click. Điều này làm cho việc khai thác trở nên đặc biệt nguy hiểm, vì nạn nhân có thể bị xâm nhập mà không hề hay biết.

CVE nghiêm trọng: Lỗ hổng ImageIO của Apple (CVE-2025-43300)

Mức độ nghiêm trọng của tình huống tăng cao khi lỗ hổng zero-day WhatsApp được phát hiện đã bị khai thác kết hợp với CVE-2025-43300, một lỗ hổng ghi ngoài giới hạn (out-of-bounds write vulnerability) trong framework ImageIO của Apple. Framework này là một thư viện hình ảnh cốt lõi trong hệ điều hành iOS và macOS.

Apple trước đó đã vá lỗi cấp độ hệ điều hành này và xác nhận rằng nó đã bị khai thác trong các “cuộc tấn công cực kỳ tinh vi nhắm vào các cá nhân cụ thể”. Lỗ hổng out-of-bounds write có thể cho phép kẻ tấn công ghi dữ liệu vào các vùng bộ nhớ ngoài ranh giới được cấp phát, thường dẫn đến hỏng bộ nhớ và có thể cho phép thực thi mã từ xa (RCE) hoặc chiếm quyền điều khiển.

Để biết thêm chi tiết về lỗ hổng này, bạn có thể tham khảo tại NVD – CVE-2025-43300.

Sự kết hợp nguy hiểm và khai thác zero-day

Sự kết hợp giữa CVE-2025-55177 trên WhatsApp và CVE-2025-43300 trong ImageIO của Apple đã tạo ra một vector tấn công cực kỳ mạnh mẽ. Kẻ tấn công có thể lợi dụng lỗi ủy quyền của WhatsApp để buộc thiết bị mục tiêu xử lý một URL độc hại, sau đó sử dụng lỗ hổng ImageIO để thực hiện hành vi ghi ngoài giới hạn bộ nhớ.

Chuỗi khai thác này có tiềm năng dẫn đến:

• Hỏng bộ nhớ (memory corruption): Ghi đè lên các vùng bộ nhớ quan trọng.
• Truy cập trái phép vào dữ liệu thiết bị: Bao gồm tin nhắn, ảnh, và các thông tin nhạy cảm khác.
• Chiếm quyền điều khiển thiết bị: Cho phép kẻ tấn công thực thi mã tùy ý với đặc quyền của ứng dụng hoặc thậm chí của hệ điều hành.

Đây là một ví dụ điển hình về việc khai thác zero-day tinh vi, trong đó các lỗi riêng lẻ được xâu chuỗi lại để đạt được mục tiêu xâm nhập hoàn chỉnh, vượt qua các cơ chế bảo mật tiêu chuẩn.

Chiến dịch tấn công và các mục tiêu

Sự cố này đã thúc đẩy một cuộc điều tra tích cực của Amnesty International’s Security Lab. Tổ chức này đang xem xét các trường hợp liên quan đến một số cá nhân bị nhắm mục tiêu trong chiến dịch này. Những dấu hiệu ban đầu cho thấy cuộc tấn công sử dụng lỗ hổng zero-day WhatsApp đang ảnh hưởng đến cả người dùng iPhone và Android.

Các đối tượng bị ảnh hưởng bao gồm các cá nhân trong xã hội dân sự, như nhà báo và những người bảo vệ nhân quyền. Đây là nhóm đối tượng thường xuyên phải đối mặt với các mối đe dọa từ phần mềm gián điệp (spyware) do chính phủ bảo trợ.

Mối đe dọa dai dẳng từ phần mềm gián điệp của chính phủ tiếp tục gây nguy hiểm cho các nhóm này, nhấn mạnh nhu cầu cấp thiết về các biện pháp bảo vệ mạnh mẽ. Điều đáng chú ý là lỗ hổng của Apple (CVE-2025-43300) nằm trong một thư viện hình ảnh cốt lõi, có nghĩa là nó có thể bị khai thác thông qua các ứng dụng khác ngoài WhatsApp, mở rộng phạm vi rủi ro tiềm tàng.

Khuyến nghị và biện pháp giảm thiểu rủi ro

Để giảm thiểu rủi ro từ **lỗ hổng zero-day WhatsApp** và các cuộc tấn công liên quan, WhatsApp và các chuyên gia bảo mật đưa ra những khuyến nghị quan trọng:

Người dùng cần đảm bảo cập nhật ứng dụng WhatsApp của mình lên các phiên bản an toàn nhất có thể. Cụ thể, các phiên bản đã vá lỗi bao gồm:

• WhatsApp cho iOS: Phiên bản 2.25.21.73 trở lên.
• WhatsApp Business cho iOS: Phiên bản 2.25.21.78 trở lên.
• WhatsApp cho Mac: Phiên bản 2.25.21.78 trở lên.

Việc cập nhật kịp thời không chỉ khắc phục CVE-2025-55177 mà còn đảm bảo người dùng được bảo vệ khỏi các lỗ hổng đã biết khác. Ngoài ra, người dùng iPhone và Mac cũng nên đảm bảo hệ điều hành của mình luôn được cập nhật lên phiên bản mới nhất để nhận các bản vá cho CVE-2025-43300 và các lỗ hổng cấp hệ điều hành khác.

Bạn có thể tham khảo thêm thông tin chi tiết về tư vấn bảo mật của WhatsApp tại WhatsApp Security Advisories.