WhatsApp: una falla di sicurezza critica ha permesso attacchi di spionaggio

Una pericolosa vulnerabilità zero-day in WhatsApp è stata sfruttata per sofisticati attacchi di spionaggio. La falla di sicurezza ha permesso agli aggressori di compromettere i dispositivi Apple senza alcuna interazione da parte dell'utente, un cosiddetto "attacco zero-click".

Meta ha ora chiuso la vulnerabilità CVE-2025-55177 e ne ha informato meno di 200 utenti potenzialmente interessati. L'agenzia statunitense per la sicurezza informatica CISA classifica la minaccia come così grave che le agenzie federali americane sono ormai tenute a proteggere i propri sistemi.

Catena di attacchi perfida senza intervento dell'utente

L'attacco ha abilmente combinato due vulnerabilità in un exploit particolarmente pericoloso. La falla di WhatsApp riguardava l'"autorizzazione incompleta dei messaggi di sincronizzazione dei dispositivi collegati". Ciò consentiva agli aggressori di inviare messaggi appositamente creati che inducevano il dispositivo di destinazione a elaborare contenuti provenienti da URL arbitrari.

Per compromettere completamente il dispositivo, i criminali informatici hanno sfruttato anche una vulnerabilità Apple (CVE-2025-43300) nel framework ImageIO. Questa seconda vulnerabilità consentiva a immagini o messaggi manipolati di causare corruzione della memoria e, in ultima analisi, di eseguire codice arbitrario.

La cosa insidiosa è che l'intero attacco è stato completamente automatizzato, senza che la vittima dovesse cliccare o aprire nulla.

Meta reagisce con misure drastiche

Il team di sicurezza di WhatsApp ha scoperto la vulnerabilità e il suo sfruttamento. L'azienda ha rilasciato patch per tutte le versioni interessate, tra cui WhatsApp per iOS versione 2.25.21.73 e WhatsApp Business per iOS versione 2.25.21.78, alla fine di luglio e ad agosto 2025.

La raccomandazione per gli utenti interessati è stata drastica: Meta ha consigliato un ripristino completo delle impostazioni di fabbrica dei dispositivi per garantire la completa rimozione di tutti gli spyware. Questa misura radicale dimostra quanto profondamente gli aggressori siano riusciti a penetrare nei sistemi.

Le autorità lanciano l'allarme

L'agenzia americana per la sicurezza informatica CISA ha aggiunto la vulnerabilità all'elenco delle minacce attivamente sfruttate il 2 settembre. Una direttiva vincolante impone a tutte le agenzie federali civili di proteggere i propri sistemi entro il 23 settembre.

Anche altri Paesi hanno reagito: il CERT-In indiano ha avvisato urgentemente tutti gli utenti dei pericoli e ha richiesto aggiornamenti immediati per tutte le applicazioni.

Target: attivisti e giornalisti

Gli attacchi ricordano molto il famigerato spyware Pegasus, che in precedenza sfruttava WhatsApp per exploit zero-click. Secondo Donncha Ó Cearbhaill del Security Lab di Amnesty International, gli attacchi attuali prendono di mira giornalisti, attivisti per i diritti umani e rappresentanti della società civile.

Queste campagne mirate dimostrano quanto le piattaforme di comunicazione sicura come WhatsApp siano diventate preziose come punto di accesso per le agenzie di intelligence e i mercenari informatici.

Pubblicità: A seguito dei recenti attacchi zero-click su WhatsApp, molti stanno prendendo in considerazione alternative con maggiore privacy. Il report PDF gratuito "Telegram Starter Kit" ti mostra passo dopo passo come passare a Telegram in modo sicuro in pochi minuti, incluso come nascondere il tuo numero, chat segrete/crittografate e le impostazioni di sicurezza più importanti. In questo modo, puoi chattare senza occhi indiscreti sul tuo smartphone, tablet o PC. Scarica subito la guida gratuita di Telegram.

Gioco infinito del gatto e del topo

Per gli oltre tre miliardi di utenti WhatsApp in tutto il mondo, questo incidente sottolinea l'importanza di misure di sicurezza coerenti. Gli esperti di sicurezza sottolineano che la protezione più efficace è rappresentata dagli aggiornamenti automatici sia per le app che per il sistema operativo.

Mentre Meta e Apple hanno neutralizzato con successo questa catena di attacchi, l'industria dello spionaggio è già alla ricerca di nuove vulnerabilità. La corsa agli armamenti tra aziende tecnologiche e sofisticati attori delle minacce continua: il prossimo attacco zero-day è solo questione di tempo.