Các nhà nghiên cứu bảo mật của Symantec giải thích cách mà các tin tặc có thể dùng malware (phần mềm mã độc) để sửa đổi các tệp tin được gửi qua các ứng dụng này. Cụ thể, trên Android, các ứng dụng này có thể chọn nơi để lưu các tệp tin đa phương tiện như file ảnh, file âm thanh hay video có sẵn vào bộ nhớ trong hoặc bộ nhớ mở rộng (thẻ nhớ gắn ngoài). Theo mặc định, WhatsApp sẽ lưu trữ các tệp tin đa phương tiện mà ứng dụng này nhận được trên bộ nhớ ngoài, còn Telegram cũng sẽ lưu vào nơi tương tự nếu bạn bật tính năng “Save to Gallery” trong phần cài đặt.
Theo các nhà nghiên cứu, thiết kế này khiến các phần mềm độc hại có quyền truy cập bộ nhớ ngoài có thể khai thác các tệp tin đa phương tiện của WhatsApp và Telegram, thậm chí trước cả khi người dùng mở file (sau khi tải về). Ví dụ, nếu người dùng vô tình tải nhầm một ứng dụng bị nhiễm mã độc, sau đó họ nhận được một bức ảnh của bạn bè gửi qua WhatsApp, lúc đó hacker (kiểm soát ứng dụng mã độc mà họ vô tình tải xuống) có thể thao túng hình ảnh đó mà người dùng không hề nhận ra. Thậm chí, theo lý thuyết hacker có thể thay đổi nội dung của tin nhắn đa phương tiện gửi đi.
TheVerge cho biết, các nhà nghiên cứu gọi cuộc tấn công kiểu này là “Media File Jacking”. Đây là một trong nhiều cách mà giới phát triển gọi là sự đánh đổi giữa quyền riêng tư và khả năng truy cập tiện dụng cho các ứng dụng tin nhắn đa phương tiện trên Android. Bằng cách cho phép lưu trữ ở thẻ nhớ ngoài, người dùng có thể tự do di chuyển dữ liệu hoặc không phải lo ngại tình trạng đầy bộ nhớ trong.
Telegram chưa bình luận về vụ việc, trong khi đại diện của WhatsApp cho biết họ sẽ thay đổi hệ thống lưu trữ để hạn chế khả năng chia sẻ các tệp tin đa phương tiện của ứng dụng, họ cho biết ý thức được vấn đề tương tự như câu hỏi trước đó về việc bộ nhớ di động ảnh hưởng tới hệ sinh thái phần mềm. “WhatsApp tuân thủ các tiện ích tối ưu nhất của từng hệ điều hành để lưu trữ đa phương tiện và hy vọng các bản cập nhật sẽ phù hợp với sự phát triển của Android”.
Như các nhà nghiên cứu đã chỉ ra, đây không phải là vấn đề của ứng dụng tin nhắn, mà vấn đề ở đây là người dùng trước giờ vẫn thường tin vào các ứng dụng được mã hóa, bảo vệ tính vẹn toàn danh tính và nội dung của người gửi lẫn người nhận. Đáng tiếc là lỗ hổng này đã khiến chúng ta nhận ra rằng các tuyên bố của WhatsApp và Telegram vẫn có khoảng cách với hiện thực, không có mã hóa nào miễn nhiễm với các lỗ hổng bảo mật.