Lỗ hổng 0-Day của WhatsApp cho phép cài đặt phần mềm gián điệp vào điện thoại

Nhằm hỗ trợ và đồng hành cùng doanh nghiệp đẩy lùi hậu quả của đại dịch Covid-19, CyStack hỗ trợ: miễn phí 3 tháng bảo mật website & server với phần mềm Cloud Security. > Đăng ký ngay.

Tin tặc khai thác lỗ hổng 0-Day của WhatsApp nhằm bí mật cài đặt phần mềm gián điệp trên điện thoại

Gần đây WhatsApp đã vá một lỗ hổng nghiêm trọng từng bị tin tặc khai thác để cài đặt phần mềm độc hại giám sát từ xa. Kẻ tấn công thực hiện trên một số điện thoại thông minh ”được chọn” bằng cách rất đơn giản là gọi tới số điện thoại bị nhắm mục tiêu qua cuộc gọi âm thanh (audio call) của WhatsApp.

Lỗ hổng này được phát hiện, vũ khí hóa và sau đó được bán bởi NSO Group – công ty của Israel chuyên sản xuất phần mềm gián điệp di động thuộc hàng tiên tiến nhất hiện nay.

Các tin tặc khai thác lỗ hổng để cài đặt phần mềm gián điệp Pegasus trên các thiết bị Android và iOS.

Lỗ hổng cho phép thực thi mã từ xa

Theo Facebook, lỗ hổng tràn bộ đệm (buffer overflow) trong ngăn xếp WhatsIP VOIP cho phép kẻ tấn công từ xa thực thi mã tùy ý trên điện thoại mục tiêu bằng cách gửi một loạt các gói SRTCP được chế tạo đặc biệt.

Rõ ràng, lỗ hổng (được xác định là CVE-2019-3568) có thể được khai thác thành công để cài đặt phần mềm gián điệp và đánh cắp dữ liệu từ điện thoại Android hoặc iPhone mục tiêu chỉ bằng cách thực hiện cuộc gọi WhatsApp, ngay cả khi người nhận không nhấc máy.

Ngoài ra, sau đó nạn nhân cũng không thể tìm hiểu thêm bất cứ thông tin gì về sự xâm nhập do phần mềm gián điệp này sẽ xóa toàn bộ thông tin các cuộc gọi đến trong nhật ký cuộc gọi để che đậy dấu vết.

Các đối tượng “bị nhắm mục tiêu”

Mặc dù chưa biết chính xác số lượng người dùng WhatsApp bị tấn công, tuy nhiên các kỹ sư đã xác nhận rằng chỉ có một số lượng người dùng nhất định bị nhắm mục tiêu cho phần mềm gián điệp của NSO Group thông qua lỗ hổng này.

Trong khi đó, Citizen Lab, một nhóm giám sát tại Đại học Toronto hiện đang điều tra các hoạt động của NSO Group tin rằng lỗ hổng này gần đây đã được sử dụng để tấn công một luật sư nhân quyền hiện đang sinh sống và làm việc tại Anh.

Phần mềm gián điệp Pegasus của NSO Group cho phép kẻ tấn công truy cập từ xa một lượng dữ liệu đáng kinh ngạc trong điện thoại thông minh của nạn nhân, bao gồm các tin nhắn văn bản, email, tin nhắn WhatsApp, thông tin liên lạc, bản ghi cuộc gọi, vị trí, micro và máy ảnh mà nạn nhân không hề hay biết.

Trước đây, phần mềm gián điệp kinh khủng này đã từng được sử dụng để chống lại các nhà hoạt động nhân quyền cũng như các nhà báo từ Mexico đến Các Tiểu vương quốc Ả Rập Thống nhất, các nhân viên của Tổ chức Ân xá Quốc tế tại Ả Rập Saudi, cùng với một nhà bảo vệ nhân quyền khác của Saudi có trụ sở ở nước ngoài vào hồi đầu năm ngoái.

Tất cả các phiên bản WhatsApp bị ảnh hưởng, ngoại trừ phiên bản mới nhất

Lỗ hổng này ảnh hưởng đến tất cả các phiên bản WhatsApp ngoại trừ phiên bản mới nhất trên iOS và Android. Điều này có nghĩa là lỗ hổng nói trên ảnh hưởng đến tất cả 1,5 tỷ người sử dụng WhatsApp cho tới khi Facebook khắc phục được vấn đề.

Facebook cho biết lỗ hổng này ảnh hưởng đến WhatsApp cho Android phiên bản trước v2.19.134, WhatsApp Business cho Android trước v2.19.44, WhatsApp cho iOS trước v2.19.51, WhatsApp Business cho iOS trước v2.19.51, WhatsApp cho Windows Phone trước v2. 18.348 và WhatsApp cho Tizen trước v2.18.15. Mới đây, các kỹ sư của WhatsApp đã phát hiện ra lỗ hổng này và báo cho Bộ Tư pháp. Những người dùng iOS và Android được khuyên cập nhật ứng dụng của họ lên phiên bản mới nhất càng sớm càng tốt.

THN