Lỗ hổng zero-click trên WhatsApp đang được ghi nhận trong một chuỗi tấn công có thể chiếm đoạt tài khoản trên iPhone chạy iOS 16 mà không cần tương tác từ người dùng. Cuộc điều tra kỹ thuật cho thấy lỗ hổng CVE liên quan đến đồng bộ phiên đăng nhập có thể bị khai thác để truy cập âm thầm vào tài khoản WhatsApp hợp lệ.
Chuỗi khai thác zero-click trên WhatsApp
Theo phân tích pháp chứng, kẻ tấn công đang tận dụng một zero-click vulnerability để duy trì quyền truy cập vào tài khoản WhatsApp của nạn nhân ngay cả khi người dùng vẫn đăng nhập bình thường. Điểm đáng chú ý là hoạt động này không tạo ra dấu hiệu rõ ràng trong mục “Linked Devices”, khiến việc phát hiện tấn công trở nên khó khăn hơn.
Nạn nhân chủ yếu là người dùng iPhone chạy iOS 16, từ iPhone 8 đến iPhone 14. Một số tài khoản bị lợi dụng để gửi tin nhắn yêu cầu chuyển tiền, nhưng không có phiên liên kết mới nào xuất hiện trong giao diện quản lý thiết bị.
Cơ chế hoạt động được quan sát
Phân tích nhật ký hệ thống cho thấy các sự kiện “resync” bất thường trong iOS unified logs. Dấu vết này cho thấy thiết bị của nạn nhân và client của kẻ tấn công đang đồng thời cạnh tranh quyền kiểm soát cùng một phiên WhatsApp.
Cách hoạt động này cho phép tạo một phiên song song mà không hiển thị như một thiết bị đã liên kết. Đây là điểm khác biệt so với các kỹ thuật chiếm đoạt tài khoản truyền thống như phishing QR hoặc các chiến dịch ghép cặp thiết bị trái phép.
CVE liên quan và điều kiện khai thác
Chuỗi khai thác được cho là kết hợp giữa CVE-2025-43300 và CVE-2025-55177. Trong đó, CVE-2025-43300 là lỗi out-of-bounds write trong ImageIO của Apple, còn CVE-2025-55177 là lỗ hổng liên quan đến xử lý đồng bộ linked-device của WhatsApp trên các thiết bị iOS dễ bị ảnh hưởng.
CVE-2025-43300 được mô tả là cho phép khai thác qua ảnh độc hại. CVE-2025-55177 ảnh hưởng đến cách xử lý thông điệp đồng bộ phiên trên thiết bị iOS chưa được vá, đặc biệt với các bản dưới iOS 16.7.12.
Thông tin tham chiếu kỹ thuật có thể xem thêm tại NVD và các bản advisory bảo mật của Apple. Đây là nguồn hữu ích để đối chiếu trạng thái vá lỗi và phạm vi ảnh hưởng của lỗ hổng CVE.
Tác động kỹ thuật
Nhà nghiên cứu cho biết kẻ tấn công có thể trích xuất dữ liệu phiên mã hóa trực tiếp từ thiết bị, sau đó khởi tạo một client WhatsApp giả mạo gắn với tài khoản nạn nhân. Cách này làm tăng rủi ro xâm nhập trái phép mà không kích hoạt cảnh báo thông thường.
Trong nhật ký hệ thống, các lỗi xử lý ảnh lặp lại tại thời điểm bị xâm nhập được xem là dấu hiệu phù hợp với một payload được chuyển qua vector hình ảnh. Đây là chỉ báo quan trọng khi rà soát rủi ro bảo mật trên thiết bị iPhone chưa cập nhật.
Dấu hiệu nhận biết trong điều tra pháp chứng
Trong thử nghiệm kiểm soát, nhóm điều tra đã tái tạo được một phần hành vi tấn công và xác nhận rằng việc chiếm đoạt phiên có thể xảy ra mà không cần người dùng thao tác. Một điểm quan trọng là không để lại dấu vết ghép đôi thiết bị điển hình.
Các dấu hiệu cần chú ý gồm:
- Resync events bất thường trong unified logs của iOS.
- Lỗi xử lý ảnh xuất hiện lặp lại trong system logs.
- Tin nhắn tài khoản bị gửi đi mà không có thiết bị mới trong Linked Devices.
- Phiên WhatsApp bị thay đổi nhưng không có cảnh báo rõ ràng cho người dùng.
Bản vá bảo mật và biện pháp giảm thiểu
Biện pháp quan trọng nhất là cập nhật bản vá lên phiên bản iOS mới nhất, vì Apple đã vá CVE-2025-43300 trong các bản phát hành gần đây. Việc trì hoãn cập nhật làm mở rộng bề mặt tấn công cho các thiết bị còn chạy iOS 16 chưa được vá.
Người dùng cũng nên cài lại WhatsApp, bật các tính năng khóa chat để hạn chế truy cập trái phép và xác thực lại tài khoản trên thiết bị sạch nhằm vô hiệu hóa các phiên do kẻ tấn công tạo ra. Đây là các bước cần thiết để giảm nguy cơ hệ thống bị tấn công ở cấp ứng dụng và phiên đăng nhập.
Khuyến nghị kỹ thuật bổ sung:
- Không phản hồi các yêu cầu chuyển tiền bất thường qua WhatsApp.
- Xác minh lại qua cuộc gọi điện thoại trước khi thực hiện giao dịch.
- Rà soát thiết bị iPhone có dấu hiệu bất thường trong nhật ký hệ thống.
- Ưu tiên update vá lỗi ngay khi có bản phát hành an toàn.
Ý nghĩa đối với an toàn thông tin di động
Chiến dịch này cho thấy lỗ hổng zero-day và các chuỗi khai thác zero-day không còn giới hạn trong nhóm tấn công phức tạp. Khi các lỗ hổng đã công khai và hệ thống chưa được vá, nguy cơ bị khai thác trên diện rộng tăng rõ rệt.
Sự kết hợp giữa thiết bị iOS 16 phổ biến và các lỗ hổng CVE đã được công bố tạo ra một bề mặt tấn công đủ lớn để kẻ xấu mở rộng phạm vi xâm nhập. Điều này làm nổi bật vai trò của bảo mật thông tin và quy trình cập nhật định kỳ trên thiết bị đầu cuối.
Trong bối cảnh các cuộc tấn công không cần tương tác người dùng ngày càng xuất hiện nhiều hơn, việc theo dõi cảnh báo CVE, rà soát log hệ thống và áp dụng bản vá bảo mật kịp thời là các bước cốt lõi để giảm thiểu rủi ro an toàn thông tin.
