Google ha scoperto una vulnerabilità su WhatsApp per Android che permette di scaricare file malevoli sul telefono senza che l’utente faccia nulla di particolare. Qualcuno aggiunge il povero malcapitato a un gruppo, carica un file infetto, e questo finisce automaticamente nel dispositivo pronto a fare danni.
Meta non sistema bug di WhatsApp: Google lo rende pubblico
Google Project Zero ha segnalato il problema a Meta il 1° settembre 2024, dandogli 90 giorni per sistemarlo. Scadenza: 30 novembre. Meta ha rilasciato una correzione parziale lato server, ma il bug è ancora lì. Quindi Google ha reso pubblica la vulnerabilità, come da policy quando un’azienda non sistema un problema di sicurezza in tempo.
E ora? Meta sta ancora lavorando a una soluzione completa. Nel frattempo, milioni di utenti Android hanno WhatsApp vulnerabile installato sui loro telefoni. Ma ci sono modi per proteggersi, e vale la pena attivarli subito.
Come funziona l’attacco
Brendon Tiszka del team Project Zero di Google ha spiegato il funzionamento dell’exploit. L’hacker crea un gruppo WhatsApp; aggiunge la vittima e un suo contatto al gruppo; nomina il contatto della vittima come amministratore del gruppo e carica file multimediali malevoli nel gruppo.
A questo punto, se si ha il download automatico dei media attivato (impostazione predefinita su WhatsApp), i file vengono scaricati automaticamente sul proprio dispositivo. Finiscono nel database MediaStore di Android. Se il file è sufficientemente sofisticato da evadere da quell’ambiente sandbox, può eseguire codice malevolo sul telefono.
È un attacco passivo al 100%. Non si clicca niente, non scarica niente volontariamente, non si aprono allegati sospetti. Si viene semplicemente aggiunti a un gruppo, e il danno è fatto. Ma l’attacco non è automatico per tutti, devono verificarsi alcune condizioni, quali:
- Conoscere il numero di telefono della vittima e di un suo contatto (non è difficilissimo, ma nemmeno banale);
- Creare un file multimediale abbastanza sofisticato da evadere dal database MediaStore e eseguire codice (non un PDF qualunque);
- Che la vittima abbia il download automatico dei media attivato (impostazione predefinita, ma disattivabile);
- Che la vittima non abbia attivato “Privacy avanzata delle chat” (funzione che limita chi può aggiungere ai gruppi).
- Chi ha la Privacy avanzata delle chat attiva, o ha disattivato il download automatico, è al sicuro per impostazione predefinita. Il file malevolo non verrà mai scaricato
Ma quanti utenti hanno cambiato queste impostazioni? Probabilmente pochi. La maggior parte usa WhatsApp con le impostazioni di default, che includono il download automatico dei media.
Meta ha avuto 90 giorni e non è bastato
Google Project Zero ha una policy chiara: quando scopre una vulnerabilità, la segnala privatamente all’azienda dandole 90 giorni per sistemare. Se dopo 90 giorni il problema non è risolto, Google rende pubblica la vulnerabilità.
È una policy controversa. Le aziende si lamentano che 90 giorni non bastano sempre per le correzioni complesse. Google risponde che 90 giorni sono più che sufficienti, e che rendere pubbliche le vulnerabilità crea pressione per sistemare davvero i problemi invece di lasciarli marcire nei backlog.
In questo caso, Meta ha rilasciato una correzione parziale lato server il 4 dicembre, ma una soluzione completa è ancora in sviluppo. Tiszka ha confermato che il bug è ancora operativo. Meta non ha commentato pubblicamente.
Come proteggersi ora
Se si usa WhatsApp su Android, ci sono due modi per proteggersi:
Opzione 1: Attivare la Privacy avanzata delle chat. Andare nelle impostazioni del gruppo e attivare questa funzione. Limita chi può aggiungere a gruppi senza il proprio consenso.
Opzione 2: Disattivare il download automatico dei media. Andare in Impostazioni > Spazio e dati > Download automatico media, e disattivare tutto. I file non verranno più scaricati automaticamente. Si dovranno scaricare manualmente .
L’opzione 2 è più sicura, ma meno comoda. Ogni volta che qualcuno manda una foto o un video, si dovrà cliccare per scaricarlo.
WhatsApp è un bersaglio molto redditizio…
WhatsApp è la più grande piattaforma di comunicazione al mondo. Miliardi di utenti. Comunicazioni personali, lavorative, aziendali. Messaggi, foto, video, documenti, tutto passa da lì. Per i criminali informatici, è un bersaglio che fa gola. Meta lo sa, e deve fare di meglio.
Ha risorse, ingegneri, budget. Se Google Project Zero scopre un bug il 1° settembre e Meta non riesce a sistemarlo entro il 30 novembre, c’è un problema. WhatsApp è troppo grande, troppo importante, troppo usato per avere vulnerabilità aperte per mesi.
Ti potrebbe interessare
27 gen 2026