Mã hóa đa thiết bị của WhatsApp, dù được thiết kế để bảo vệ quyền riêng tư, đã tồn tại một rủi ro bảo mật nghiêm trọng: rò rỉ siêu dữ liệu cho phép kẻ tấn công mạng nhận dạng hệ điều hành thiết bị của người dùng. Điều này tạo điều kiện cho việc triển khai mã độc được nhắm mục tiêu một cách hiệu quả. Mặc dù Meta đã thực hiện một số bản vá bán phần, các vấn đề về minh bạch vẫn còn đó, gây lo ngại cho cộng đồng an ninh mạng.
Hiểu rõ Rủi ro Bảo mật trong Mã hóa Đa thiết bị của WhatsApp
Cơ chế Mã hóa Đa thiết bị và Điểm yếu Tiềm ẩn
WhatsApp của Meta, với hơn 3 tỷ người dùng hoạt động hàng tháng, sử dụng mã hóa đầu cuối (E2EE) để đảm bảo an toàn tin nhắn. Tuy nhiên, tính năng đa thiết bị của ứng dụng lại vô tình tiết lộ thông tin nhạy cảm về các thiết bị được liên kết.
Trong cấu hình này, người gửi thiết lập các phiên riêng biệt với từng thiết bị của người nhận. Các khóa mã hóa duy nhất được tạo ra trên chính thiết bị, thay vì trên máy chủ. Kiến trúc này, dù mang lại sự tiện lợi, lại tạo ra một bề mặt tấn công mới.
Phát hiện và Khai thác Thông tin Thiết bị
Sự khác biệt trong việc triển khai các định danh khóa, cụ thể là Signed Pre-Key (Signed PK) và One-Time Pre-Key (OTPK), đã hé lộ liệu một thiết bị đang chạy hệ điều hành Android hay iOS. Đây là một thông tin cực kỳ quan trọng trong giai đoạn trinh sát của chuỗi tấn công mạng (cyber kill chain).
Kẻ tấn công khai thác lỗ hổng này một cách thụ động bằng cách truy vấn máy chủ WhatsApp để lấy các khóa phiên mà không cần bất kỳ tương tác nào từ người dùng. Việc xác định loại hệ điều hành cho phép chúng triển khai các khai thác chính xác, ví dụ như gửi mã độc Android tới thiết bị Android, tránh iOS hoặc làm tăng cảnh giác cho nạn nhân.
Phân tích Kỹ thuật về Lỗ hổng Fingerprinting Hệ điều hành
Định danh Hệ điều hành qua Signed Pre-Key và OTPK
Lỗ hổng này dựa trên sự khác biệt có hệ thống trong cách các định danh khóa Signed PK và OTPK được tạo ra và quản lý trên các nền tảng khác nhau.
- Android Signed PK IDs: Các ID này được biết là tăng dần chậm từ 0 hàng tháng.
- iOS Signed PK IDs: Các mẫu ID trên iOS khác biệt rõ rệt, không tuân theo quy tắc tăng dần tương tự.
Sự khác biệt tinh vi này cho phép các công cụ phân tích từ xa xác định loại hệ điều hành của thiết bị đích với độ chính xác cao. Điều này không chỉ là một rủi ro bảo mật tiềm ẩn mà còn là một cơ chế khai thác đã được chứng minh.
Các Nghiên cứu Tiên phong và Phương pháp Tấn công
Nghiên cứu ban đầu vào đầu năm 2024 của Tal A. Be’ery tại hội nghị WOOT’24 đã phơi bày sự rò rỉ về số lượng, loại và danh tính thiết bị thông qua các phiên trên mỗi thiết bị, dựa trên giao thức của Signal.
Đến năm 2025, Gabriel Karl Gegenhuber cùng các cộng sự tại WOOT’25 đã trình bày chi tiết về kỹ thuật fingerprinting hệ điều hành. Họ chỉ ra rằng kẻ tấn công có thể xác định chính xác các thiết bị cụ thể để triển khai khai thác.
Tal A. Be’ery đã xác minh những phát hiện này bằng các công cụ tùy chỉnh, khẳng định khả năng kẻ tấn công có thể xâu chuỗi các rò rỉ để phát hiện hệ điều hành và phân phối payload cụ thể mà không bị phát hiện. Chi tiết hơn có thể tham khảo bài viết WhatsApp Silent Fix of Device Fingerprinting Privacy Issue của Tal A. Be’ery.
Tác động của Lỗ hổng đến Hệ thống và Người dùng
Khả năng phân biệt hệ điều hành từ xa cho phép các mối đe dọa mạng tiên tiến (APT) sử dụng WhatsApp làm kênh phân phối mã độc. Các trường hợp phần mềm gián điệp như Paragon spyware đã chứng minh nguy cơ này.
Quan trọng hơn, các truy vấn này diễn ra mà không có bất kỳ thông báo nào đến người dùng. Điều này giúp kẻ tấn công duy trì trạng thái ẩn mình, làm tăng tính nghiêm trọng của rủi ro bảo mật và khó khăn trong việc phát hiện xâm nhập.
Cập nhật và Đánh giá Bản vá Bảo mật của WhatsApp
Thay đổi trong việc gán Signed Pre-Key IDs
Gần đây, WhatsApp đã thay đổi cách gán các ID Signed PK cho thiết bị Android. Thay vì tăng dần theo một mẫu dễ đoán, các ID này hiện được gán giá trị ngẫu nhiên trong phạm vi 24-bit. Sự thay đổi này đã được phát hiện thông qua các công cụ giám sát và đánh dấu một bước chuyển mình từ lập trường trước đây của Meta, vốn coi đây là một vấn đề không cần hành động.
Sự ngẫu nhiên hóa này đã vô hiệu hóa một phần vector tấn công dựa trên Signed PK IDs của Android, giảm thiểu một khía cạnh của rủi ro bảo mật ban đầu.
Hạn chế của Bản vá và Rủi ro Còn tồn đọng
Mặc dù có những cải tiến, các ID OTPK vẫn có thể phân biệt được. Trên iOS, OTPK bắt đầu với giá trị thấp và tăng dần sau vài ngày, trong khi Android lại sử dụng một dải giá trị ngẫu nhiên hoàn chỉnh. Điều này có nghĩa là, ngay cả sau bản vá, các công cụ đã được điều chỉnh vẫn có thể đáng tin cậy phát hiện hệ điều hành.
Như vậy, bản vá bảo mật hiện tại chỉ giải quyết một phần vấn đề, và rủi ro bảo mật liên quan đến việc fingerprinting hệ điều hành vẫn còn tồn tại thông qua OTPK. Điều này tiếp tục đặt ra thách thức đối với quyền riêng tư và an toàn của người dùng.
Thiếu sót trong Quy trình Công bố Lỗ hổng CVE
Các nhà nghiên cứu chỉ trích rằng việc triển khai bản vá này thiếu sự minh bạch. Không có cảnh báo cho các nhà nghiên cứu, chương trình tiền thưởng lỗi (bug bounty) hay việc gán lỗ hổng CVE (Common Vulnerabilities and Exposures).
Việc bỏ qua quy trình lỗ hổng CVE này gây cản trở nghiêm trọng đến việc theo dõi và quản lý các vấn đề bảo mật trong cộng đồng. CVE là tiêu chuẩn tài liệu hóa các vấn đề thông qua điểm số CVSS, không phải là một công cụ để gây xấu hổ. Việc không gán CVE cho một lỗ hổng nghiêm trọng như vậy là một điểm yếu trong quy trình xử lý sự cố an toàn thông tin.
Khuyến nghị và Biện pháp An toàn Thông tin
Hướng dẫn Người dùng Tăng cường Bảo mật
Trong bối cảnh các bản vá đang phát triển và rủi ro bảo mật vẫn còn, người dùng nên thực hiện các biện pháp phòng ngừa để bảo vệ quyền riêng tư và an toàn của mình:
- Hạn chế thiết bị liên kết: Chỉ liên kết các thiết bị cần thiết và thường xuyên kiểm tra danh sách thiết bị đã liên kết trong cài đặt WhatsApp.
- Giám sát hoạt động: Chủ động theo dõi bất kỳ hoạt động đáng ngờ nào trên các thiết bị đã liên kết.
- Cập nhật ứng dụng: Đảm bảo WhatsApp luôn được cập nhật lên phiên bản mới nhất để nhận các bản vá bảo mật kịp thời.
Yêu cầu về Minh bạch và Hợp tác Cộng đồng
Để bảo vệ hàng tỷ người dùng tốt hơn, cần có sự ngẫu nhiên hóa hoàn toàn trên tất cả các nền tảng và minh bạch hơn trong việc gán lỗ hổng CVE. Điều này sẽ thúc đẩy sự hợp tác của cộng đồng an ninh mạng và tăng cường khả năng phòng thủ tổng thể.
Sự minh bạch trong việc xử lý các rủi ro bảo mật không chỉ giúp người dùng hiểu rõ hơn về các mối đe dọa mà họ phải đối mặt, mà còn cho phép các nhà nghiên cứu và chuyên gia bảo mật đóng góp vào việc tìm kiếm và khắc phục lỗ hổng, tạo ra một môi trường kỹ thuật số an toàn hơn.
