Per almeno tre mesi, una vulnerabilità su WhatsApp ha permesso agli hacker di infiltrarsi negli iPhone senza che le vittime cliccassero su nulla. Bastava ricevere un messaggio specificamente costruito e il dispositivo era compromesso. Meta ha appena corretto la falla, ma sta chiedendo agli utenti colpiti di fare qualcosa di drastico: resettare completamente i loro telefoni alle impostazioni di fabbrica.
WhatsApp corregge vulnerabilità attiva da 3 mesi su iPhone, cosa fare subito
Non era solo un bug di WhatsApp. La vulnerabilità CVE-2025-5517 sfruttava un’autorizzazione incompleta nei messaggi di sincronizzazione dei dispositivi collegati. Ma il vero colpo di genio degli hacker è stato concatenarla con CVE-2025-43300, che permetteva di processare contenuti da URL arbitrari senza alcuna azione dell’utente.
Donncha Ó Cearbhaill, ricercatore dell’Amnesty International Security Lab, ha spiegato su X che la seconda vulnerabilità non riguardava direttamente WhatsApp, ma la libreria di immagini principale di Apple. Si trattava quindi di un bug a livello di sistema operativo. Prima della correzione da parte di Apple, poteva essere sfruttato attraverso qualsiasi app che gestisse immagini, non solo WhatsApp.
🚨 BREAKING: New zero-click exploit used to hack WhatsApp users.
WhatsApp has just sent out a round of threat notifications to individuals they believe where targeted by an advanced spyware campaign in past 90 days.
Seek out expert help if you have received this alert pic.twitter.com/i4cHLsiNOr
— Donncha Ó Cearbhaill (@DonnchaC) August 29, 2025
L’attacco era attivo da almeno tre mesi prima della scoperta. Tre mesi in cui chiunque fosse nel mirino poteva essere compromesso senza saperlo. Meta non ha rivelato quante persone sono state colpite, ma la sofisticazione dell’exploit suggerisce che fosse mirato a obiettivi di alto valore.
Chi sono questi obiettivi? Giornalisti, attivisti, politici, dirigenti aziendali, le solite vittime degli spyware di stato. Il fatto che Amnesty International sia coinvolta nella scoperta non è un caso. L’organizzazione monitora costantemente gli attacchi contro dissidenti e difensori dei diritti umani.
Il reset di fabbrica come unica soluzione
Meta sta contattando gli utenti potenzialmente compromessi, consigliando di resettare il dispositivo completamente. Anche se la vulnerabilità è stata corretta, l’exploit potrebbe aver installato malware persistente che sopravvive agli aggiornamenti.
È una misura drastica che significa perdere tutti i dati locali, reinstallare tutte le app, riconfigurare tutto da zero. Ma è l’unico modo per essere certi di eliminare eventuali backdoor lasciate dagli attaccanti.
Le versioni vulnerabili ancora in circolazione, e sono:
- WhatsApp per iOS precedente alla 2.25.21.73;
- WhatsApp Business per iOS precedente alla 2.25.21.78;
- WhatsApp per Mac precedente alla 2.25.21.78.
Chi sta ancora usando queste versioni, è vulnerabile. L’aggiornamento non è opzionale: è urgente.
Il problema degli attacchi zero-click
Gli attacchi zero-click sono il Santo Graal degli hacker. Non richiedono ingegneria sociale, non dipendono dall’errore umano, sono invisibili.
Il fatto che questa vulnerabilità coinvolgesse sia WhatsApp che le librerie core di iOS dimostra quanto sia difficile proteggere i dispositivi moderni. Due delle aziende tecnologicamente più avanzate del mondo hanno lasciato aperta una porta per tre mesi.
La nota di sicurezza di Meta è sorprendentemente scarna per una vulnerabilità di questa gravità. Nessun dettaglio su chi è stato colpito, come è stata scoperta, chi l’ha sfruttata. WhatsApp si vanta della crittografia end-to-end, della privacy, della sicurezza. Ma tutto questo non serve a nulla se gli hacker possono entrare direttamente nel dispositivo.
Ti potrebbe interessare
30 ago 2025