Theo chuyên gia bảo mật Phạm Hồng Nhật, ứng dụng nhắn tin WhatsApp phiên bản Android có chứa lỗ hổng bảo mật quan trọng. Tin tặc có thể khai thác lỗ hổng này để hack thiết bị Android từ xa, đánh cắp tập tin và toàn bộ tin nhắn trò chuyện riêng tư của người dùng.

Hack thiết bị Android từ xa thông qua WhatsApp chỉ với 1 tập tin GIF

Hiện nay, định dạng ảnh động GIF đang rất phổ biến trên khắp mọi nền tảng Internet như trong những dịch vụ tin nhắn, trên phần bình luận của các ứng dụng mạng xã hội… Đây là phương tiện thú vị, giúp mọi người thể hiện cảm xúc, tương tác với nhau thoải mái hơn. Tuy nhiên những tập tin GIF tưởng như vô hại lại có thể bị lợi dụng để tấn công thiết bị của bạn.

Lỗ hổng thực thi mã từ xa trong WhatsApp

Lỗ hổng có mã hiệu CVE-2019-11932, là lỗi hỏng bộ nhớ double-free (cho phép thực thi mã từ xa nếu người dùng tương tác với nội dung độc hại), không thực sự nằm trong mã nguồn của WhatsApp, mà thuộc thư viện phân tích ảnh GIF mã nguồn mở mà ứng dụng này đang dùng.

Lỗ hổng được phát hiện bởi nhà nghiên cứu bảo mật người Việt với tên Phạm Hồng Nhật hồi tháng 5. Theo đó, khi khai thác thành công lỗi này, tin tặc có thể sử dụng tất cả những quyền mà WhatsApp có để tấn công từ xa máy Android, từ đó có thể thực thi mã tùy ý.

“Dữ liệu vận chuyển (payload) được thực thi trong phạm vi của ứng dụng nên tin tặc sẽ có quyền đọc thẻ nhớ SD, truy cập cơ sở dữ liệu tin nhắn WhatsApp trên thiết bị”, nhà nghiên cứu cho biết.

“Mã độc hại sẽ có tất cả quyền mà WhatsApp có, gồm ghi âm, truy cập camera, hệ thống tập tin, bộ lưu trữ sandbox của WhatsApp – nơi chứa tất cả dữ liệu trò chuyện của người dùng…”.

Lỗ hổng RCE trong WhatsApp hoạt động như thế nào?

Trước khi gửi tập tin đa phương tiện (media file) cho ai đó, người dùng sẽ mở thư viện của thiết bị. Lúc này, WhatsApp sẽ sử dụng thư viện phân tích (parsing library) để tạo ra bản xem trước của các tập tin GIF.

Do đó, không phải tin tặc kích hoạt lỗ hổng bằng cách gửi tập tin GIF độc hại cho ai đó. Lỗ hổng được thực thi từ khi nạn nhân mở bộ thư viện ảnh ứng dụng (WhatsApp Gallery Picker) để gửi tập tin cho người khác.

Để hack máy Android, kẻ tấn công chỉ cần tạo những tập tin GIF độc hại bằng một số phương thức thủ công đặc biệt, sau đó gửi đến nạn nhân thông qua bất kỳ kênh liên lạc trực tuyến nào và đợi họ mở thư viện hình ảnh trong WhatsApp.

Tuy nhiên, nếu kẻ tấn công muốn gửi tập tin GIF cho nạn nhân thông qua những nền tảng nhắn tin như WhatsApp hoặc Messenger, hắn cần chuyển thành định dạng tài liệu (document) thay vì tập tin đa phương tiện (media file). Bởi vì dịch vụ nén hình ảnh sẽ làm biến dạng dữ liệu độc hại ẩn trong đó.

Thiết bị, phiên bản bị tấn công và bản vá hệ thống

Sự cố chỉ ảnh hưởng từ phiên bản WhatsApp 2.19.230 trở về trước chạy trên Android 8.1 và 9.0, không hoạt động với Android 8.0 trở xuống. Phạm Hồng Nhật đã báo cáo lỗ hổng cho Facebook, công ty sở hữu WhatsApp, vào hồi tháng 7. Hãng đã phát hành bản vá bảo mật trong phiên bản WhatsApp 2.19.244, được phát hành cuối tháng 9.

Để tránh bị hacker dòm ngó, người dùng Android nên ngay lập tức cập nhật ứng dụng WhatsApp lên phiên bản mới nhất. Mặt khác, lỗ hổng nằm trong thư viện nguồn mở, nên những ứng dụng Android khác sử dụng cùng thư viện cũng có thể bị tấn công tương tự.

Android GIF Drawable, nhà phát triển thư viện GIF bị ảnh hưởng, đã phát hành phiên bản 1.2.18 của phần mềm để vá lỗ hổng double-free.

Phiên bản WhatsApp trên iOS không bị ảnh hưởng từ lỗ hổng này.

Theo The Hacker News