Questo articolo è stato pubblicato da questo sito
La sicurezza di WhatsApp è di nuovo a rischio. In questi giorni, infatti, la piattaforma di messaggistica di Meta ha inviato notifiche di compromissione a tutti gli utenti che ritiene possano essere stati presi di mira negli ultimi 90 giorni da uno spyware avanzato – un software dannoso che viene installato in modo illecito su un dispositivo per acquisire dati e informazioni sensibili – che ha sfruttato alcune vulnerabilità critiche delle app iOS e MacOS. Un attacco, questa volta, fuori dal comune, considerando che non è stata necessaria alcuna interazione da parte delle vittime (ossia “zero-click”): è bastato, infatti, che queste ricevessero un messaggio malevolo per permettere ai criminali di compromettere i dispositivi, accedere da remoto ai dati che vi erano contenuti e perfino controllare microfono e videocamera.
X content
This content can also be viewed on the site it originates from.
Fortunamente, una volta individuato il problema, WhatsApp ha rilasciato una patch di sicurezza per risolverlo e garantire la privacy dei suoi utenti. “Abbiamo apportato modifiche per impedire che questo specifico attacco si verifichi tramite WhatsApp – ha dichiarato l’app di messaggistica nella comunicazione inviata ai suoi utenti -. Tuttavia, il sistema operativo del tuo dispositivo potrebbe rimanere compromesso dal malware o essere preso di mira in altri modi. Per proteggerti al meglio, ti consigliamo di eseguire un ripristino completo delle impostazioni di fabbrica del dispositivo. Ti invitiamo inoltre a mantenere i tuoi dispositivi aggiornati all’ultima versione del sistema operativo e ad assicurarti che la tua app WhatsApp sia aggiornata”. Tutto è bene quel che finisce bene quindi, anche se l’attacco ha messo in allerta gli esperti di sicurezza, per la sua capacità di sfruttare in combinazione vulnerabilità dell’applicazione e del sistema operativo dei dispositivi.
I dettagli dell’exploit zero-click
Secondo quanto riferito dai ricercatori del Security Lab di Amnesty International, poi confermato da Meta, l’attacco avrebbe sfruttato una vulnerabilità (CVE-2025-55177) nel sistema di sincronizzazione dei dispositivi collegati a WhatsApp, permettendo “agli aggressori di forzare la visualizzazione di contenuti da URL arbitrari sul dispositivo di una vittima“. Una falla che, a detta di Meta, è stata sfruttata in combinazione a “una vulnerabilità a livello di sistema operativo sulle piattaforme Apple (CVE-2025-43300)”, così da mettere a segno “un attacco sofisticato contro utenti specifici”. Insieme, infatti, le due vulnerabilità hanno permesso ai criminali di bypassare i sistemi di sicurezza di iOS e MacOS, così da assicurare un accesso diretto ai dati dei dispositivi colpiti. Una tecnica di alto livello, degna delle campagne di spyware che prendono di mira giornalisti, esponenti politici e obiettivi sensibili dei governi. Ma che questa volta, invece, sembrano aver colpito le persone comuni.
“Il caso della vulnerabilità zero-click in WhatsApp mette in evidenza quanto possa essere fragile la sicurezza delle piattaforme di messaggistica anche più diffuse, nonostante gli enormi sforzi profusi – commenta Pierluigi Paganini, esperto di sicurezza – Un exploit capace di compromettere dispositivi iOS e macOS senza interazione dimostra che la superficie d’attacco resta ampia. Preoccupa la frequenza con la quale abbiamo notizia di nuovi exploit come quelli del caso in oggetto che sono utilizzati proprio da governi totalitari per attività di sorveglianza e repressione delle opposizioni. Un plauso a Meta che prontamente ha rilasciato le patch, tuttavia un rischio residuo rimane: attacchi così avanzati potrebbero minare la fiducia degli utenti e rafforzano la convinzione che sia necessario rafforzare sicurezza, controlli e trasparenza”.
