WhatsApp sotto attacco: scoperta vulnerabilità zero-click che colpisce iPhone e Mac

Quando si parla di vulnerabilità zero-click in WhatsApp c’è subito da drizzare le antenne. Attacchi informatici sofisticati possono sfruttare queste problematiche di sicurezza per eseguire codice nocivo senza richiedere alcuna azione da parte dell’utente per infettare il dispositivo. Gli sviluppatori di WhatsApp hanno appena comunicato di aver corretto una vulnerabilità di sicurezza significativa nelle versioni dell’app per iOS e macOS.

La falla, identificata come CVE-2025-55177, è stata confermata di tipo zero-click, indicando appunto che non richiede alcuna interazione da parte della vittima per essere sfruttata.

Nuovi rischi di attacchi mirati contro gli utenti WhatsApp

WhatsApp ha precisato che la vulnerabilità in questione, se combinata con una falla a livello di sistema operativo su piattaforme Apple (CVE-2025-43300), potrebbe essere stata sfruttata in attacchi altamente sofisticati contro utenti specifici. Apple aveva già rilasciato aggiornamenti di emergenza per il problema noto come CVE-2025-43300, descrivendo l’attacco come “estremamente sofisticato”.

Donncha Ó Cearbhaill, responsabile del Security Lab di Amnesty International, ha sottolineato che WhatsApp ha avvisato alcuni utenti di essere stati potenzialmente coinvolti in una campagna spyware avanzata negli ultimi 90 giorni. L’aggressione, quindi, non è sulla carta ma è già sfruttata per attacchi volti a infettare i terminale di figure di primo piano.

Un nuovo caso Paragon Graphite all’orizzonte?

Un exploit zero-click sfrutta falle di sicurezza nel software che permettono di eseguire codice malevolo semplicemente attraverso la ricezione di un messaggio, una chiamata o un file, senza che la vittima debba cliccare o aprire nulla. Gli attacchi in questione sono estremamente pericolosi e difficili da rilevare, poiché agiscono in modo silenzioso e invisibile.

Nel 2019, una vulnerabilità in WhatsApp permetteva l’installazione di spyware tramite una chiamata persa, senza bisogno che l’utente rispondesse, mettendo in luce la potenza degli exploit zero-click.

Lo spyware Pegasus, noto per essere un malware zero-click, è stato utilizzato per spiare giornalisti e attivisti, infettando dispositivi iOS e Android semplicemente inviando messaggi sfruttando vulnerabilità zero-day.

Nel 2021, l’exploit “ForcedEntry” su iMessage dimostrò come anche dispositivi considerati molto sicuri come gli iPhone potessero essere compromessi da un attacco zero-click tramite un’immagine malevola.

Sistemi e versioni coinvolti

Secondo l’avviso ufficiale di WhatsApp, la vulnerabilità CVE-2025-55177 interessa le seguenti versioni:

• WhatsApp per iOS: versioni precedenti alla 2.25.21.73
• WhatsApp Business per iOS: versioni precedenti alla 2.25.21.78
• WhatsApp per macOS: versioni precedenti alla 2.25.21.78

La falla riguarda un problema di autorizzazione incompleta nei messaggi di sincronizzazione dei dispositivi collegati, che potrebbe permettere a un utente non autorizzato di forzare l’elaborazione di contenuti provenienti da URL arbitrari sul dispositivo target.

Gli utenti dovrebbero a questo punto procedere con l’aggiornamento di WhatsApp alle versioni più recenti disponibili nonché adeguare il sistema operativo Apple all’ultima release per chiudere le vulnerabilità correlate.