;)
Nelle scorse settimane WhatsApp ha chiuso un'importante falla di sicurezza, classificata come CVE-2025-55177, e riscontrata nella sua versione per iPhone e Mac. La falla in questione poteva essere potenzialmente sfruttata insieme a un altro “buco” presente nei sistemi Apple, identificato come CVE-2025-43300. La combinazione delle due falle poteva permettere il lancio di attacchi informatici di tipo zero-click. Questa rappresenta una modalità di intrusione particolarmente insidiosa visto che la vittima non deve compiere alcuna azione – come aprire un link o scaricare un file (ecco perché viene definita “zero click”) – affinché il suo dispositivo venga compromesso.
Questo significa che l'utente, pur prestando la massima attenzione ai propri comportamenti digitali, non avrebbe potuto accorgersi del tentativo di intrusione, né tantomeno avrebbe potuto evitarlo con le solite misure preventive. Meta ha confermato di aver corretto la falla che rendeva l'app di messaggistica più vulnerabile.
La portata del problema e come difendersi su iPhone e Mac
Margarita Franklin, portavoce di Meta (la società madre a cui fa capo WhatsApp), interpellata dal sito d'informazione TechCrunch, ha dichiarato che l'azienda ha corretto la falla «alcune settimane addietro» e che ha inviato «meno di 200» notifiche agli utenti WhatsApp interessati. I giornalisti hanno chiesto anche se WhatsApp avesse idea di chi potesse esserci dietro gli attacchi, magari un aggressore specifico o un fornitore di servizi di sorveglianza, ma a questa domanda la portavoce ha preferito non rilasciare commenti.
Per Amnesty International, che ha monitorato la vicenda, si è trattato di una campagna di spyware condotta negli ultimi tre mesi, con capacità tecniche di livello avanzato. In casi simili, i dati rubati possono includere messaggi, contenuti personali e informazioni sensibili conservate nei dispositivi. Ecco perché, anche se la probabilità di essere coinvolti è minima, l'aggiornamento dell'app rimane una misura necessaria: serve non solo a proteggere se stessi, ma anche a ridurre il bacino di potenziali vittime sfruttabili da chi porta avanti questi attacchi.
Cosa ha originato il problema? La risposta a questa domanda è contenuta nella nota ufficiale mediante la quale la società ha reso nota l'esistenza della falla, dove si legge:
L'autorizzazione incompleta dei messaggi di sincronizzazione dei dispositivi collegati in WhatsApp per iOS prima della versione 2.25.21.73, WhatsApp Business per iOS versione 2.25.21.78 e WhatsApp per Mac versione 2.25.21.78 avrebbe potuto consentire a un utente non correlato di attivare l'elaborazione di contenuti da un URL arbitrario sul dispositivo di un bersaglio. Riteniamo che questa vulnerabilità, in combinazione con una vulnerabilità a livello di sistema operativo sulle piattaforme Apple (CVE-2025-43300), possa essere stata sfruttata in un attacco sofisticato contro utenti specifici.
Nel caso di WhatsApp, quindi, il problema era legato a un difetto di autorizzazione nei messaggi di sincronizzazione dei dispositivi collegati, che avrebbe potuto consentire l'elaborazione di contenuti da URL arbitrari, ossia indirizzi Web scelti dall'aggressore. Quando questa falla è stata combinata con quella dei sistemi operativo di Apple (iOS e macOS), diventava possibile installare un exploit, cioè un codice creato per sfruttare la debolezza e ottenere accesso ai dati. È importante sottolineare che i ricercatori interni del team di sicurezza di WhatsApp hanno individuato il problema e corretto il codice poche settimane fa, rilasciando aggiornamenti per iOS e Mac già disponibili negli store ufficiali. Per mettervi al sicuro dalla falla in questione, dunque, è sufficiente che vi accingiate a installare l'ultimo aggiornamento disponibile per WhatsApp su App Store.
WhatsApp e i suoi precedenti con gli attacchi zero-click
Gli attacchi zero-click non sono una novità assoluta per WhatsApp. In passato, la piattaforma era già stata al centro di campagne di sorveglianza: nel 2019 il gruppo israeliano NSO era stato accusato di aver usato il suo spyware Pegasus contro oltre 1.400 persone. Questa vicenda ha portato a una causa legale conclusa con una condanna al pagamento di 167 milioni di dollari di risarcimento a WhatsApp da parte di NSO. Più recentemente, all'inizio del 2024, circa 90 utenti in Italia – tra cui giornalisti, compresi i nostri colleghi di Fanpage Francesco Cancellato e Ciro Pellegrino – erano stati colpiti da strumenti di spionaggio attribuiti a Paragon.
;Resize,width=270;)
;Resize,width=767;)
;Resize,width=712;)
;Resize,width=270;)
;Resize,width=270;)
