Meta hôm thứ Ba cho biết họ đã cung cấp một công cụ có tên WhatsApp Research Proxy cho một số nhà nghiên cứu bug bounty lâu năm của mình để giúp cải thiện chương trình và nghiên cứu hiệu quả hơn về giao thức mạng của nền tảng nhắn tin.
Ý tưởng là giúp dễ dàng tìm hiểu sâu hơn về các công nghệ dành riêng cho WhatsApp khi ứng dụng này tiếp tục là một attack surface béo bở cho các tác nhân do nhà nước bảo trợ và các nhà cung cấp phần mềm gián điệp thương mại.
Công ty cũng lưu ý rằng họ đang thiết lập một sáng kiến thử nghiệm, mời các nhóm nghiên cứu tập trung vào việc lạm dụng nền tảng với sự hỗ trợ từ kỹ thuật và công cụ nội bộ. Họ cho biết thêm: "Mục tiêu của chúng tôi là giảm rào cản gia nhập chương trình cho các học giả và các nhà nghiên cứu khác, những người có thể chưa quen thuộc với bug bounties."
Sự phát triển này diễn ra khi gã khổng lồ mạng xã hội cho biết họ đã trao hơn $25 triệu USD tiền thưởng bug bounty cho hơn 1.400 nhà nghiên cứu từ 88 quốc gia trong 15 năm qua, trong đó hơn 4 triệu USD đã được chi trả chỉ riêng trong năm nay cho gần 800 báo cáo hợp lệ. Tổng cộng, Meta cho biết họ đã nhận được khoảng 13.000 lượt gửi báo cáo.
Một số phát hiện lỗi đáng chú ý bao gồm một lỗi xác thực không đầy đủ trong WhatsApp trước v2.25.23.73, WhatsApp Business cho iOS v2.25.23.82 và WhatsApp cho Mac v2.25.23.83, có thể cho phép người dùng kích hoạt xử lý nội dung được truy xuất từ một URL tùy ý trên thiết bị của người dùng khác. Không có bằng chứng nào cho thấy vấn đề này đã bị khai thác trong thực tế.
Meta cũng đã vá một lỗ hổng được theo dõi là CVE-2025-59489 (điểm CVSS: 8.4) có thể cho phép các ứng dụng độc hại được cài đặt trên thiết bị Quest thao túng các ứng dụng Unity để đạt được arbitrary code execution. Nhà nghiên cứu bảo mật RyotaK từ Flatt Security đã được ghi nhận vì đã phát hiện và báo cáo lỗ hổng này.
Lỗ hổng bảo mật WhatsApp đơn giản làm lộ 3,5 tỷ số điện thoại
Cuối cùng, Meta cho biết họ đã bổ sung các biện pháp bảo vệ chống scraping cho WhatsApp sau một báo cáo chi tiết về một phương pháp mới để liệt kê các tài khoản WhatsApp ở quy mô lớn trên 245 quốc gia và xây dựng một bộ dữ liệu chứa mọi người dùng, bỏ qua các hạn chế về giới hạn tốc độ của dịch vụ. WhatsApp có khoảng 3,5 tỷ người dùng hoạt động.
Cuộc tấn công lợi dụng tính năng khám phá danh bạ hợp pháp của WhatsApp, yêu cầu người dùng trước tiên phải xác định xem danh bạ của họ có đăng ký trên nền tảng hay không. Về cơ bản, nó cho phép kẻ tấn công thu thập thông tin cơ bản có thể truy cập công khai, cùng với ảnh hồ sơ, văn bản "Giới thiệu" và dấu thời gian liên quan đến các cập nhật chính của hai thuộc tính. Meta cho biết họ không tìm thấy dấu hiệu nào cho thấy vector này từng bị lạm dụng trong bối cảnh độc hại.
Điều thú vị là nghiên cứu đã tìm thấy hàng triệu số điện thoại đăng ký WhatsApp ở các quốc gia mà ứng dụng này chính thức bị cấm, bao gồm 2,3 triệu ở Trung Quốc và 1,6 triệu ở Myanmar.
"Thông thường, một hệ thống không nên phản hồi một số lượng lớn yêu cầu như vậy trong một thời gian ngắn – đặc biệt là khi bắt nguồn từ một nguồn duy nhất," Gabriel Gegenhuber, nhà nghiên cứu của Đại học Vienna và là tác giả chính của nghiên cứu, cho biết. "Hành vi này đã làm lộ lỗ hổng cơ bản, cho phép chúng tôi đưa ra các yêu cầu không giới hạn đến máy chủ và, bằng cách đó, lập bản đồ dữ liệu người dùng trên toàn thế giới."
Đầu năm nay, Gegenhuber et al cũng đã chứng minh một nghiên cứu khác có tên Careless Whisper cho thấy cách các biên nhận gửi có thể gây ra rủi ro riêng tư đáng kể cho người dùng, từ đó cho phép kẻ tấn công gửi các tin nhắn được tạo đặc biệt có thể kích hoạt biên nhận gửi mà người dùng không hề hay biết hoặc đồng ý, và trích xuất trạng thái hoạt động của họ.
"Bằng cách sử dụng kỹ thuật này với tần suất cao, chúng tôi chứng minh cách kẻ tấn công có thể trích xuất thông tin cá nhân, chẳng hạn như theo dõi người dùng trên các thiết bị đồng hành khác nhau, suy ra lịch trình hàng ngày của họ hoặc suy luận các hoạt động hiện tại," các nhà nghiên cứu lưu ý.
"Hơn nữa, chúng tôi có thể suy ra số lượng phiên người dùng hiện đang hoạt động (tức là thiết bị chính và thiết bị đồng hành) và hệ điều hành của họ, cũng như khởi động các cuộc tấn công resource exhaustion, chẳng hạn như làm cạn kiệt pin hoặc gói dữ liệu của người dùng, tất cả mà không tạo ra bất kỳ thông báo nào trên phía mục tiêu."
