Bạn có nghĩ rằng WhatsApp chỉ chia sẻ thông tin khi có người nhắn tin cho mình không? Sự thật khiến nhiều người bất ngờ: những kẻ xa lạ hoàn toàn có thể thu thập metadata (dữ liệu mô tả) về tài khoản của bạn mà không cần biết số điện thoại hay gửi bất kỳ tin nhắn nào. Phát hiện này một lần nữa đặt dấu hỏi lớn về mức độ riêng tư thực sự mà ứng dụng nhắn tin phổ biến nhất thế giới này cung cấp cho 2 tỷ người dùng toàn cầu.

Kẻ thù vô hình: Khi thông tin cá nhân bị "đánh cắp thầm lặng"

Theo nghiên cứu bảo mật mới được công bố, WhatsApp vô tình tạo ra một kênh rò rỉ thông tin nguy hiểm. Kẻ tấn công có thể khai thác các API (giao diện lập trình ứng dụng) công khai của WhatsApp để thu thập metadata về người dùng. Những thông tin này bao gồm thời gian hoạt động cuối, trạng thái online, ảnh đại diện và thậm chí cả danh sách nhóm mà nạn nhân tham gia.

Chúng tôi cho rằng đây là một lỗ hổng nghiêm trọng vì nó vi phạm nguyên tắc cơ bản của bảo mật: "không tiết lộ thông tin không cần thiết". Khác với các cuộc tấn công truyền thống cần phải lừa đảo hoặc cài đặt malware (phần mềm độc hại), phương thức này hoạt động hoàn toàn thụ động và không để lại dấu vết nào trên thiết bị của nạn nhân.

Cơ chế khai thác: Khi lập trình viên "quên" bảo vệ cửa sau

Vấn đề nằm ở thiết kế API của WhatsApp Web và WhatsApp Business. Để tối ưu trải nghiệm người dùng, WhatsApp cho phép ứng dụng truy xuất một số thông tin cơ bản mà không cần xác thực nghiêm ngặt. Kẻ tấn công chỉ cần tạo ra các script (đoạn mã) tự động để gửi request (yêu cầu) đến server WhatsApp với các tham số đã được kỹ thuật đảo ngược.

Quá trình này diễn ra như sau: hacker sử dụng các công cụ như Burp Suite hoặc OWASP ZAP để phân tích traffic (lưu lượng dữ liệu) giữa ứng dụng và server. Sau đó, họ tái tạo các API call hợp pháp nhưng với payload (tải trọng dữ liệu) được chỉnh sửa để trích xuất thông tin nhạy cảm. Điều đáng lo ngại là toàn bộ quá trình có thể được tự động hóa để thu thập thông tin hàng loạt.

Tác động domino: Từ metadata đến tấn công có chủ đích

Thoạt nhìn, việc lộ metadata có vẻ không nghiêm trọng bằng việc tin nhắn bị đọc trộm. Tuy nhiên, chúng tôi đánh giá đây là nền tảng cho các cuộc tấn công social engineering (kỹ thuật xã hội) phức tạp hơn. Với 98 triệu người dùng internet Việt Nam và hơn 70% sử dụng WhatsApp, số lượng người có thể bị ảnh hưởng là rất lớn.

Kẻ tấn công có thể kết hợp metadata với thông tin từ các nguồn khác để tạo ra hồ sơ chi tiết về nạn nhân. Ví dụ, biết được thời gian bạn online thường xuyên giúp chúng xác định múi giờ, lịch trình làm việc, thậm chí cả tình trạng sức khỏe. Thông tin này sau đó được sử dụng trong các chiến dịch phishing (lừa đảo qua email) có độ tin cậy cao hoặc các vụ tấn công spear-phishing (lừa đảo nhắm mục tiêu) vào doanh nghiệp.

Phòng thủ chủ động: Bảo vệ bản thân trước khi quá muộn

Người dùng Việt Nam cần thực hiện ngay các bước sau để giảm thiểu rủi ro. Đầu tiên, truy cập Settings > Privacy trong WhatsApp và tắt "Last Seen" (Lần cuối truy cập), "Profile Photo" (Ảnh đại diện) và "About" (Giới thiệu) với người lạ. Tiếp theo, tắt tính năng "Read Receipts" (Xác nhận đã đọc) và hạn chế hiển thị với "My Contacts" (Danh bạ của tôi) thay vì "Everyone" (Mọi người).

Đối với doanh nghiệp, chúng tôi khuyến nghị triển khai chính sách sử dụng WhatsApp Business một cách có kiểm soát. Nhân viên không nên sử dụng tài khoản cá nhân để trao đổi công việc, thay vào đó hãy tạo tài khoản doanh nghiệp riêng biệt với thông tin tối thiểu. Đồng thời, cần đào tạo nhân viên nhận biết các dấu hiệu của social engineering attack để tránh trở thành nạn nhân của những cuộc tấn công sử dụng thông tin metadata bị rò rỉ.