Các chuyên gia săn tìm mã độc từ đội ngũ Project Zero của Google - nhóm đứng sau nhiều phát hiện về phần mềm gián điệp trên Android và iPhone đã đưa ra cảnh báo về một lỗ hổng cho phép thực hiện “tấn công không cần tương tác” (zero-click) thông qua việc tải xuống các tệp đa phương tiện trên WhatsApp dành cho Android.

Google vừa công khai lỗ hổng bảo mật nghiêm trọng của WhatsApp. Ảnh minh hoạ.

Phương thức tấn công tinh vi và sự chậm trễ của Meta 

Theo mô tả của Google, kịch bản tấn công xảy ra khi nạn nhân và một người trong danh bạ của họ bị thêm vào một nhóm WhatsApp mới. Kẻ tấn công sau đó biến người liên hệ của nạn nhân thành quản trị viên nhóm, rồi gửi tệp đa phương tiện chứa mã độc vào nhóm. 

Do cơ chế mặc định, tệp tin độc hại sẽ tự động được tải về điện thoại của nạn nhân, từ đó mở ra “cửa ngõ” để tin tặc chiếm quyền kiểm soát hoặc đánh cắp dữ liệu mà người dùng không hề hay biết hay cần nhấn vào bất kỳ đường link nào.

Đáng chú ý, lỗ hổng này đã được báo cáo riêng cho Meta từ ngày 01/09/2025. Theo quy định của Google, các doanh nghiệp có 90 ngày để sửa lỗi trước khi thông tin được công bố rộng rãi. Tuy nhiên, sau khi Meta lỡ hạn chót vào ngày 30/11/2025, Project Zero đã buộc phải công khai lỗ hổng này để bảo vệ người dùng.

Dù Meta đã thực hiện một thay đổi trên máy chủ vào ngày 11/11 để khắc phục một phần sự cố, nhưng một bản vá toàn diện vẫn chưa được hoàn tất. Các báo cáo mới nhất vào tháng 12/2025 cho thấy lỗi này vẫn đang bị “bỏ ngỏ”.

Biện pháp bảo mật khẩn cấp từ chuyên gia

Để đảm bảo an toàn trong thời gian chờ đợi bản vá lỗi chính thức từ Meta, Google đưa ra khuyến cáo khẩn cấp đối với người dùng Android về việc chủ động phòng vệ. Theo đó, người dùng cần tắt ngay tính năng tự động tải xuống (Automatic Download) để ngăn chặn điện thoại tự ý lưu các tệp tin độc hại về máy, đồng thời kích hoạt Chế độ Quyền riêng tư Nâng cao (Advanced Privacy Mode) nhằm thiết lập thêm lớp bảo mật chuyên sâu cho ứng dụng. 

Đặc biệt, người dùng cần hết sức cẩn trọng khi tiếp nhận các tệp đa phương tiện, chỉ nên tải xuống và mở tệp khi đã xác minh hoàn toàn chính xác danh tính người gửi cũng như nguồn gốc của tệp tin đó.

Trước đó, nhiều chuyên gia an ninh đã cảnh báo rằng việc cho phép tự động tải nội dung đa phương tiện từ bất kỳ nền tảng nhắn tin nào đều tiềm ẩn rủi ro lớn. Thông thường, các ứng dụng nhắn tin được thiết kế như một “vùng cách ly” (sandbox) để cô lập và hạn chế mối đe dọa. Tuy nhiên, một khi tệp tin được lưu vào kho lưu trữ chung của thiết bị, hàng rào bảo vệ này sẽ bị phá vỡ và mức độ nguy hiểm tăng lên đáng kể.

Google nhận định đây nhiều khả năng là một cuộc tấn công có chủ đích, bởi kẻ tấn công buộc phải biết hoặc đoán chính xác một liên hệ trong danh bạ của nạn nhân. Điều này khiến mức độ rủi ro được đánh giá là thấp hơn so với loại mã độc có khả năng tự động lan truyền đến toàn bộ người dùng mà không cần biết số điện thoại hay danh bạ.

Tuy nhiên, đội ngũ Project Zero cảnh báo rằng, “việc thực hiện các nỗ lực tấn công này nhiều lần liên tiếp trong thời gian ngắn là rất dễ dàng, và việc “mò” ra danh bạ của nạn nhân trong các cuộc tấn công có chủ đích cũng là điều không hề khó khăn”.

Cuộc khẩu chiến với Telegram

Trước đó, Pavel Durov - người sáng lập Telegram, đã đăng tải trên X (Twitter) lời cảnh báo đầy khiêu khích: “Bạn phải thật ngây thơ mới tin rằng WhatsApp an toàn vào năm 2026. Chúng tôi đã phân tích cách WhatsApp triển khai “mã hóa” và phát hiện ra hàng loạt kẽ hở tấn công”. 

Tuy nhiên, phía Google cho rằng các tuyên bố của Durov hiện chưa có bằng chứng cụ thể và có thể chỉ là một phần trong cuộc cạnh tranh giữa hai nền tảng nhắn tin.

Lệ Thanh (theo Forbes)