WhatsApp vá lỗ hổng Zero-Click nhắm vào các thiết bị iOS và macOS

[Starlink]

WhatsApp đã giải quyết lỗ hổng bảo mật trong ứng dụng nhắn tin dành cho Apple iOS và macOS mà họ cho biết có thể đã bị khai thác trong thực tế kết hợp với lỗ hổng mới được Apple tiết lộ gần đây trong các cuộc tấn công zero-day có chủ đích.

Lỗ hổng bảo mật, CVE-2025-55177 (điểm CVSS: 5.4), liên quan đến trường hợp ủy quyền không đủ cho các tin nhắn đồng bộ hóa thiết bị được liên kết. Các nhà nghiên cứu nội bộ thuộc Nhóm Bảo mật WhatsApp đã được ghi nhận là những người phát hiện và đánh giá lại lỗi.

Công ty do Meta sở hữu cho biết vấn đề này "có thể cho phép người dùng không liên quan kích hoạt việc xử lý nội dung từ một URL tùy ý trên thiết bị của mục tiêu".

Lỗi này ảnh hưởng đến các phiên bản sau:

    WhatsApp dành cho iOS trước phiên bản 2.25.21.73 (Đã vá vào ngày 28 tháng 7 năm 2025)
    WhatsApp Business cho iOS phiên bản 2.25.21.78 (Đã vá vào ngày 4 tháng 8 năm 2025) và
    WhatsApp cho Mac phiên bản 2.25.21.78 (Đã vá vào ngày 4 tháng 8 năm 2025)

Công ty cũng đánh giá rằng lỗ hổng này có thể liên quan đến CVE-2025-43300, một lỗ hổng ảnh hưởng đến iOS, iPadOS và macOS, như một phần của cuộc tấn công tinh vi nhằm vào những người dùng mục tiêu cụ thể.

Tuần trước, Apple đã tiết lộ CVE-2025-43300 đã được sử dụng trong một "cuộc tấn công cực kỳ tinh vi nhằm vào các cá nhân cụ thể".

Lỗ hổng bảo mật đang được đề cập là lỗ hổng ghi ngoài giới hạn trong khuôn khổ ImageIO có thể dẫn đến hỏng bộ nhớ khi xử lý hình ảnh độc hại.

Donncha Ó Cearbhaill, người đứng đầu Phòng thí nghiệm bảo mật tại Tổ chức Ân xá Quốc tế, cho biết WhatsApp đã thông báo cho một số lượng cá nhân không xác định mà họ tin rằng đã bị nhắm mục tiêu bởi một chiến dịch phần mềm gián điệp tiên tiến trong 90 ngày qua bằng cách sử dụng CVE-2025-55177.

Trong cảnh báo gửi đến các cá nhân bị nhắm mục tiêu, WhatsApp cũng khuyến nghị thực hiện khôi phục cài đặt gốc toàn bộ thiết bị và cập nhật hệ điều hành cũng như ứng dụng WhatsApp để bảo vệ tối ưu. Hiện vẫn chưa rõ ai hoặc nhà cung cấp phần mềm gián điệp nào đứng sau các cuộc tấn công này.

Ó Cearbhaill mô tả cặp lỗ hổng này là cuộc tấn công "không cần nhấp chuột", nghĩa là không yêu cầu bất kỳ tương tác nào của người dùng, chẳng hạn như nhấp vào liên kết, để xâm phạm thiết bị của họ.

"Những dấu hiệu ban đầu cho thấy cuộc tấn công WhatsApp đang ảnh hưởng đến cả người dùng iPhone và Android, trong đó có cả những cá nhân thuộc xã hội dân sự", Ó Cearbhaill nói. "Phần mềm gián điệp của chính phủ tiếp tục gây ra mối đe dọa cho các nhà báo và những người bảo vệ nhân quyền."

Trong một tuyên bố chia sẻ với The Hacker News, WhatsApp cho biết họ đã gửi thông báo đe dọa trong ứng dụng tới chưa đến 200 người dùng có thể đã bị nhắm mục tiêu trong chiến dịch này.

(Bài viết đã được cập nhật sau khi xuất bản để làm rõ rằng các bản vá lỗi đã được phát hành vào cuối tháng 7/tháng 8 năm 2025. Bài viết đã được cập nhật lại vào ngày 2 tháng 9 năm 2025 để phản ánh điểm CVSS mới nhất được công bố trong cơ sở dữ liệu NIST NVD.)