CISA cảnh báo về lỗ hổng trong ứng dụng TeleMessage

Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) đang cảnh báo về lỗ hổng được phát hiện trong TeleMessage, một ứng dụng nhắn tin gần đây được cựu cố vấn an ninh quốc gia của Trump, ông Mike Waltz sử dụng.

Nhiệm kỳ ngắn ngủi của Waltz với tư cách là cố vấn an ninh quốc gia được đánh dấu bằng hai sự cố liên quan đến việc sử dụng các ứng dụng nhắn tin. Đầu tiên, trong sự việc được gọi là “Signalgate”, ông đã vô tình thêm một nhà báo vào cuộc trò chuyện nhóm Signal, nơi các nhà lãnh đạo an ninh quốc gia thảo luận về một hoạt động quân sự sắp tới ở Yemen.

Waltz sau đó được phát hiện đang sử dụng một ứng dụng có tên TeleMessage Signal trên điện thoại của mình, điều này một lần nữa làm dấy lên mối lo ngại về an ninh. Vụ việc Signalgate được cho là đã tác động đến quyết định sa thải cố vấn an ninh quốc gia của Tổng thống Trump.

TeleMessage có trụ sở tại Israel, thuộc sở hữu của công ty truyền thông Smarsh, cho phép người dùng lưu trữ tin nhắn được gửi qua các ứng dụng như WhatsApp, Telegram và Signal. Sau khi TeleMessage trở thành tâm điểm chú ý vì Waltz sử dụng nó, các nhà nghiên cứu bảo mật phát hiện ra rằng nó đã được sử dụng trong Chính phủ Mỹ và những lo ngại về an ninh là có cơ sở.

Tin tặc tuyên bố đã đánh cắp tin nhắn riêng tư và trò chuyện nhóm liên quan đến các bản sao Signal, WhatsApp, WeChat và Telegram của TeleMessage. Tin tặc không lấy được tin nhắn của các quan chức Chính phủ Mỹ, nhưng chứng minh rằng nhật ký trò chuyện được lưu trữ bởi TeleMessages không được mã hóa và có thể dễ dàng bị các tác nhân đe dọa đánh cắp được.

Để ứng phó với sự cố này, Smarsh đã tạm thời ngừng mọi dịch vụ TeleMessage trong khi tiến hành điều tra. Nhà nghiên cứu Micah Lee đã phân tích mã nguồn TeleMessage và phát hiện ra rằng mặc dù nhà cung cấp tuyên bố rằng ứng dụng Signal của họ có tên là TM SGNL, ​​hỗ trợ mã hóa đầu cuối, nhưng trên thực tế, giao tiếp giữa ứng dụng và đích lưu trữ tin nhắn cuối cùng không được mã hóa đầu cuối, cho phép kẻ tấn công truy cập vào nhật ký trò chuyện dưới dạng văn bản thuần túy. 

Thật vậy, có vẻ như tin tặc đã khai thác điểm yếu này để đánh cắp dữ liệu người dùng từ máy chủ lưu trữ TeleMessage, bao gồm các tin nhắn Telegram riêng tư thuộc về công ty tiền điện tử Coinbase, cùng với danh sách hàng trăm khách hàng và nhân viên khác.

Lỗ hổng này hiện có mã định danh CVE-2025-47729, đã được thêm vào danh mục Lỗ hổng đã khai thác đã biết (KEV) của CISA. Ngoài ra, CVE-2025-47729 trong Cơ sở dữ liệu lỗ hổng quốc gia chỉ ra rằng lỗ hổng bảo mật này đã bị khai thác trên thực tế. 

Các cơ quan liên bang của Mỹ được yêu cầu giải quyết các lỗ hổng có trong danh sách KEV trong vòng ba tuần. Các tổ chức khác cũng được khuyến cáo nên theo dõi danh sách để ưu tiên vá lỗi. Trong trường hợp lỗ hổng TeleMessage, vì đây là sự cố ở phía máy chủ nên người dùng không thể làm gì nhiều ngoài việc ngừng sử dụng sản phẩm, đây chính là khuyến nghị mà CISA đưa ra.