/https://www.ilsoftware.it/app/uploads/2025/04/foto-michele-nasi.jpg){kind=small}
/https://www.ilsoftware.it/app/uploads/2026/01/vulnerabilita-whatsapp-android-esecuzione-codice-remoto.jpg "Come un bug in WhatsApp può portare all'esecuzione di codice dannoso")
WhatsApp è oggi la piattaforma di comunicazione più utilizzata al mondo e, proprio per questo, rappresenta uno degli obiettivi più ambiti per i criminali informatici. La sua diffusione trasversale, l’uso sempre più frequente in contesti lavorativi informali e l’elevato livello di fiducia riposto dagli utenti rendono ogni vulnerabilità particolarmente critica. Il caso Paragon Graphite ha recentemente portato alla ribalta la pericolosità delle vulnerabilità zero-click ossia dei bug di WhatsApp che possono condurre all’esecuzione di codice arbitrario sul dispositivo dell’utente vittima.
La recente divulgazione da parte di Google Project Zero di un bug che interessa WhatsApp su Android rappresenta un ulteriore esempio emblematico. E non tanto per la presenza della singola falla, quanto per il modello di attacco che abilita. Anche in questo caso, lo sfruttamento del problema di sicurezza da parte di un utente malintenzionato può agevolare la distribuzione di contenuti malevoli senza alcuna interazione da parte della vittima.
Il modello di sicurezza di WhatsApp e il ruolo del contact gating
Per limitare spam e abusi, WhatsApp per Android adotta un sistema di protezione basato sull’interazione dell’utente, spesso definito come contact gating.
In condizioni normali, i file provenienti da numeri non salvati in rubrica non vengono scaricati automaticamente, a meno che non si verifichi uno specifico evento: l’aggiunta del mittente ai contatti, una risposta in una chat individuale, l’apertura esplicita di un gruppo o il download manuale di un contenuto. Il meccanismo ha lo scopo di garantire che lo scaricamento automatico dei media sia una conseguenza di un’azione consapevole.
Una volta scaricato, però, il file è immediatamente indicizzato nel MediaStore di Android (database che indicizza e rende accessibili tutti i contenuti multimediali presenti sul dispositivo, come immagini, video, audio e alcuni tipi di documenti). WhatsApp invoca direttamente MEDIA_SCANNER_SCAN_FILE, rendendo il contenuto subito disponibile al sistema e ad altre componenti autorizzate.
Si tratta di un passaggio è cruciale, perché il MediaStore rappresenta una superficie di attacco ampia: vulnerabilità nel parsing di immagini, video o metadati possono trasformare un semplice download in un vettore di compromissione.
L’aggiramento del modello tramite i gruppi WhatsApp
La vulnerabilità documentata da Brendon Tiszka di Google Project Zero sfrutta una debolezza logica nel modo in cui WhatsApp gestisce i gruppi. L’attaccante crea un gruppo, vi aggiunge la vittima e almeno un contatto legittimo della vittima, quindi promuove quest’ultimo ad amministratore. A questo punto viene inviato un contenuto multimediale appositamente costruito.
Il comportamento anomalo è che il file è scaricato automaticamente solo sul dispositivo della vittima, senza che questa abbia mai aperto il gruppo o interagito con esso, mentre il contatto promosso ad amministratore non riceve il download automatico. In pratica, il requisito di interazione è soddisfatto indirettamente dalla presenza di un contatto fidato nel gruppo, aggirando il modello di sicurezza previsto.
Il risultato è un attacco “interactionless”: la vittima non deve cliccare, rispondere o visualizzare nulla. Il semplice fatto di essere stata aggiunta a un gruppo è sufficiente per innescare il download del media, che viene poi indicizzato nel MediaStore. Se il file contiene un exploit in grado di sfruttare ulteriori vulnerabilità, l’attacco può evolvere in esecuzione di codice o accesso non autorizzato. Ecco perché il fatto che ci siano oltre 1 miliardo di dispositivi Android non aggiornati è un problema: una falla già nota che consente l’esecuzione di codice remoto su Android può essere sfruttata proprio attraverso WhatsApp.
Severità formale e impatto reale della vulnerabilità scoperta in WhatsApp
Dal punto di vista strettamente tecnico, la vulnerabilità individuata da Tiszka non rappresenta un bypass completo del contact gating. È infatti necessario che l’attaccante conosca o riesca a indovinare almeno un contatto della vittima. Una caratteristica che abbassa la severità teorica rispetto a scenari in cui qualunque numero sconosciuto sia in grado di colpire indiscriminatamente.
Tuttavia, nella pratica, questo prerequisito è spesso poco significativo. In attacchi mirati, individuare contatti plausibili è relativamente semplice e l’attacco può essere tentato più volte in rapida successione.
Inoltre, Google Project Zero ha già dimostrato come bug simili possano rendere sfruttabili vulnerabilità di livello inferiore, come PZ-442423708 e PZ-443741909, trasformando problemi apparentemente marginali in catene di exploit complete.
Versioni coinvolte e stato della patch correttiva
Il problema è stato osservato nelle versioni stabili di WhatsApp per Android, tra cui la 2.25.23.81 distribuita tramite il sito ufficiale e la 2.25.22.80 disponibile sul Play Store. Questo indica che la vulnerabilità non è confinata a build sperimentali o beta, ma interessa una base utenti ampia.
Google Project Zero ha segnalato privatamente il bug a Meta il 1° settembre 2025, concedendo i consueti 90 giorni per la risoluzione. Alla scadenza del 30 novembre 2025, non era disponibile una patch completa, motivo per cui i dettagli tecnici sono stati da poco resi pubblici.
Successivamente, sembra che Meta abbia introdotto una mitigazione parziale lato server ma una correzione definitiva è ancora in lavorazione e il ticket pubblico non riporta ulteriori aggiornamenti.
Un problema ricorrente, non un caso isolato
Meta aveva già riconosciuto in passato diverse vulnerabilità legate alla gestione degli allegati su WhatsApp. La frequenza con cui emergono problemi in quest’area suggerisce che il trattamento dei contenuti multimediali resti uno degli aspetti più delicati dell’applicazione, in particolare su Android, dove i file sono rapidamente indicizzati ed esposti a livello di sistema.
Il nuovo caso mostra chiaramente come le debolezze nella gestione dei media in WhatsApp (come peraltro già visto anche in passato) possano trasformarsi in un vettore di attacco silenzioso, soprattutto se combinate con altre superfici di attacco come il MediaStore. Il risultato, alla fine, produce effetti paragonabili a quelli di exploit di basso livello.
/https://www.ilsoftware.it/app/uploads/2026/01/whatsapp-channels-VLOP-europa.jpg "Perché l'Europa ha deciso di imbrigliare WhatsApp Channels con il DSA, da oggi")
/https://www.ilsoftware.it/app/uploads/2026/01/causa-contro-whatsapp-meta-crittografia-end-to-end.jpg "WhatsApp è davvero “privato”? Causa contro Meta mette in discussione la crittografia end-to-end")
/https://www.ilsoftware.it/app/uploads/2026/01/wp_drafter_494888.jpg "NexPhone: il sorprendente smartphone che fa girare Android, Linux e Windows 11")
/https://www.ilsoftware.it/app/uploads/2026/01/airalo-3.jpg "Airalo è l'eSIM che ti fa viaggiare in gruppo al sicuro in oltre 200 paesi")