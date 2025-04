La vicenda Paragon Graphite non è ancora sopita che spunta una nuova minaccia per gli utenti di WhatsApp. A darne notizia è Meta stessa che interviene per esortare gli utenti di WhatsApp Desktop ad aggiornare immediatamente il software: come spiega l’azienda nel bollettino CVE-2025-30401, un difetto presente nel programma – identificato come un problema di spoofing – può portare all’esecuzione di codice arbitrario in modalità remota.

Il problema risulta corretto a partire dalla versione 2.2450.6 del client desktop per Windows, ed è per questo motivo che è bene non temporeggiare con il download e l’installazione dell’aggiornamento.

CVE-2025-30401: attacco a WhatsApp basato sullo spoofing del tipo MIME/estensione

Secondo l’avviso di sicurezza pubblicato da WhatsApp, la vulnerabilità risiedeva nel modo in cui il client desktop visualizzava e gestiva gli allegati: erano mostrati in base al loro tipo MIME, ma aperti utilizzando il gestore file associato all’estensione del file.

Questa discrepanza, apparentemente banale, apre le porte a un potenziale abuso. Un attaccante potrebbe sfruttare file apparentemente innocui, come un’immagine PNG o un documento PDF, quando in realtà si tratta di file eseguibili mascherati. Se l’utente tenta di aprire manualmente il file da WhatsApp, il sistema operativo può avviare l’esecuzione del codice nascosto “sotto mentite spoglie”: ad esempio script dannosi o payload malware.

Gli sviluppatori di WhatsApp aggiungono che questo “type-mismatch appositamente creato potrebbe indurre la vittima a eseguire codice arbitrario anziché visualizzare il file“.

Ricerca e divulgazione responsabile

Meta e WhatsApp riferiscono che la vulnerabilità in questo è frutto della scoperta di un ricercatore esterno che l’ha segnalata privatamente e in modo responsabile attraverso il programma Meta Bug Bounty.

Gli sviluppatori di WhatsApp non hanno tuttavia ancora indicato se il problema sia sfruttato attivamente in attacchi reali (“in the wild”). La classificazione come CVE e la prontezza del rilascio suggeriscono tuttavia un rischio elevato per gli utenti.

Precedenti simili e minacce avanzate

WhatsApp per Windows ha già affrontato problemi analoghi a quello appena emerso. A luglio 2024, ad esempio, venne a galla un’altra vulnerabilità che consentiva l’apertura di file Python e PHP senza alcun avviso se l’interprete corrispondente era installato nel sistema, sfruttando meccanismi simili di manipolazione del tipo del file allegato.

Ancora più grave la vulnerabilità zero-click utilizzata per l’installazione dello spyware Graphite, sviluppato dalla israealiana Paragon. La falla, risolta lato server, non ha richiesto un aggiornamento lato client e i tecnici di Meta l’hanno gestita in modo silente senza l’assegnazione di un CVE ufficiale, in base alle linee guida MITRE e alle policy interne dell’azienda.

A valle delle indagini, Meta ha avvisato circa 90 utenti Android in decine di Paesi, inclusi giornalisti e attivisti italiani, oggetto di un attacco deliberato avanzato da parte di soggetti terzi con l’obiettivo di sorvegliare i loro dispositivi personali.