Các nhà nghiên cứu bảo mật của Symantec giải thích cách mà các tin tặc có thể dùng phần mềm mã độc (malware) để sửa đổi các tệp tin được gửi qua các ứng dụng này, khi các tệp được lưu trữ trên bộ nhớ ngoài, các tin tặc có thể truy cập và thao tác lên chúng thậm chí trước cả khi người dùng mở file (sau khi tải về).
Trên WhatsApp, các tệp được lưu trữ bên ngoài theo mặc định, trong khi trên Telegram, lỗ hổng sẽ xuất hiện nếu lệnh "Lưu vào thư mục" được bật lên.
Để kiểm chứng, các nhà nghiên cứu của Symantec đã kiểm tra cách phần mềm độc hại thao tác, làm thay đổi các tệp tin hình ảnh và âm thanh được gửi qua WhatsApp và Telegram.
Trong clip giới thiệu về cách kiểm chứng của mình, một người đã gửi ảnh của 2 người bạn qua các ứng dụng trên. Kết quả là những phần mềm độc hại trên thiết bị của người nhận đã tự động thay thế khuôn mặt của người trong ảnh bằng hình ảnh của diễn viên Nicolas Cage.
TheVerge cho biết, các nhà nghiên cứu gọi cuộc tấn công kiểu này là “Media File Jacking”. Đây là một trong nhiều cách mà giới phát triển gọi là sự đánh đổi giữa quyền riêng tư và khả năng truy cập tiện dụng cho các ứng dụng tin nhắn đa phương tiện trên Android. Bằng cách cho phép lưu trữ ở thẻ nhớ ngoài, người dùng có thể tự do di chuyển dữ liệu hoặc không phải lo ngại tình trạng đầy bộ nhớ trong.
Lên tiếng về vấn đề này, đại diện WhatsApp cho hay: "WhatsApp đã xem xét kỹ vấn đề này và nó giống với các câu hỏi trước đây về việc lưu trữ trên thiết bị di động ảnh hưởng đến hệ sinh thái ứng dụng. WhatsApp tuân theo các thực tiễn tốt nhất hiện nay được cung cấp bởi các hệ điều hành có uy tín để lưu trữ thông tin phương tiện và mong muốn cung cấp các bản cập nhật phù hợp với sự phát triển liên tục của Android".
Telegram chưa bình luận về vụ việc, trong khi đại diện của WhatsApp cho biết họ sẽ thay đổi hệ thống lưu trữ để hạn chế khả năng chia sẻ các tệp tin đa phương tiện của ứng dụng, họ cho biết ý thức được vấn đề tương tự như câu hỏi trước đó về việc bộ nhớ di động ảnh hưởng tới hệ sinh thái phần mềm. “WhatsApp tuân thủ các tiện ích tối ưu nhất của từng hệ điều hành để lưu trữ đa phương tiện và hy vọng các bản cập nhật sẽ phù hợp với sự phát triển của Android”.
Như các nhà nghiên cứu đã chỉ ra, đây không phải là vấn đề của ứng dụng tin nhắn, mà vấn đề ở đây là người dùng trước giờ vẫn thường tin vào các ứng dụng được mã hóa, bảo vệ tính vẹn toàn danh tính và nội dung của người gửi lẫn người nhận. Đáng tiếc là lỗ hổng này đã khiến chúng ta nhận ra rằng các tuyên bố của WhatsApp và Telegram vẫn có khoảng cách với hiện thực, không có mã hóa nào miễn nhiễm với các lỗ hổng bảo mật.
VD: Ứng dụng giả mạo có tên MobonoGram và tự quảng cáo là phiên bản nâng cao của Telegram với các tính năng bổ sung. Phần mềm độc hại này tự động truy cập các trang web đồi trụy, lừa đảo và làm chậm thiết bị, giảm tuổi thọ pin thiết bị của người dùng.
MobonoGram đã được tải xuống hơn 100.000 lần trước khi bị xóa khỏi Google Play. Google xác nhận nó đã bị xóa và cho biết họ đã cấm các nhà phát triển tiếp tục xây dựng, phổ biến ứng dụng này.
Trong một diễn biến khác, các nhà nghiên cứu cũng tìm thấy một ứng dụng mạo danh khác được gọi là Whatsgram.
Ứng dụng này cũng phục vụ những cuộc tấn công tương tự từ cùng các nhà phát triển. Symantec cho biết, họ đã chặn hơn 1.200 ứng dụng kiểu này từ tháng 1 đến tháng 5 vừa qua.