Negli ultimi giorni, una vulnerabilità zero-click di WhatsApp ha messo a rischio iPhone e Mac consentendo agli attaccanti di prendere il controllo dei dispositivi semplicemente inviando una immagine o un messaggio manipolato, senza bisogno che l’utente clicchi o apra nulla. Aggiorna immediatamente WhatsApp e il sistema operativo. Se hai ricevuto una notifica di WhatsApp sui potenziali rischi, esegui un backup e un ripristino del dispositivo. Non aprire mai allegati sospetti e tieni alta l’attenzione in caso di nuove notifiche di sicurezza.
Cos’è successo: il nuovo attacco zero-click via WhatsApp
Nel settembre 2025, ricercatori di sicurezza e gruppi come Amnesty International hanno scoperto una falla critica in WhatsApp per iOS e macOS sfruttata in attacchi mirati contro giornalisti, attivisti e membri della società civile. L’attacco sfrutta una catena di due vulnerabilità:
- CVE-2025-55177: vulnerabilità zero-day in WhatsApp, che riguardava una falla nel sistema di sincronizzazione dei dispositivi collegati. Permetteva l’elaborazione non autorizzata di contenuti remoti tramite messaggi creati ad hoc.
- CVE-2025-43300: bug nel sistema Apple ImageIO (il framework che gestisce immagini) per iOS e macOS, sfruttato da hacker per eseguire codice malevolo semplicemente processando un’immagine manipolata, senza alcun intervento dell’utente.
Associando queste due vulnerabilità, il cybercriminale riusciva a inviare immagini “speciali” che, processate in background da WhatsApp e dal sistema Apple, davano accesso remoto ai dati dell’utente o all’intero dispositivo.
Come funziona un attacco zero-click su WhatsApp
Gli attacchi “zero-click” sono tra i più pericolosi: a differenza dei classici malware o phishing, in cui si deve cliccare su link o aprire allegati sospetti, qui basta ricevere un messaggio (ad esempio una foto via WhatsApp) per essere compromessi. Questo perché la vulnerabilità veniva sfruttata nel momento stesso in cui l’app processava l’immagine ricevuta, senza notifica e senza interazione necessaria.
Nel caso specifico, l’attaccante invia uno specifico messaggio via WhatsApp che sfrutta la falla CVE-2025-55177 per indurre l’app a scaricare contenuti dannosi da remoto. Questi contenuti poi aggirano la sicurezza di iOS/macOS grazie al bug ImageIO CVE-2025-43300. Il risultato? L’hacker ottiene il controllo del dispositivo o può sottrarre dati sensibili.
Gli utenti colpiti e la risposta delle aziende
La vulnerabilità è stata usata con successo in attacchi mirati verso poche decine di utenti, principalmente difensori dei diritti umani, membri della società civile e giornalisti. Meta (proprietaria di WhatsApp) ha notificato gli utenti coinvolti tramite un sistema interno di avviso. Apple ha rilasciato una patch d’emergenza tra fine agosto e inizio settembre 2025.
WhatsApp ha aggiornato le versioni interessate:
- WhatsApp per iOS dalla versione 2.25.21.73 in poi è sicura.
- WhatsApp Business per iOS è da aggiornare almeno a 2.25.21.78.
- WhatsApp per Mac richiede almeno la versione 2.25.21.78.
- Anche gli aggiornamenti Apple iOS/iPadOS 18.6.2, iPadOS 17.7.10 (modelli più vecchi) e macOS Sequoia 15.6.1 chiudono la falla di sistema.
Le agenzie di sicurezza come la CISA (Cybersecurity and Infrastructure Security Agency) hanno ordinato entro il 23 settembre 2025 il patching completo dei dispositivi vulnerabili per gli enti governativi statunitensi, raccomandando le stesse misure a imprese e utenti privati.
L’importanza del patching e tutto ciò che occorre sapere
Questo attacco evidenzia quanto sia fondamentale mantenere aggiornate tutte le app e il sistema operativo del proprio dispositivo, non solo per bloccare i malware noti ma soprattutto per difendersi da minacce zero-day e sofisticate, che possono colpire anche utenti esperti senza che questi si rendano conto di nulla.
Negli ultimi anni il numero di vulnerabilità zero-day realmente sfruttate è cresciuto: nel solo 2024 ne sono state tracciate 75 attive nel mondo reale, e ormai rappresentano circa un terzo dei tentativi di infezione iniziale nei grandi attacchi.
Quali sono i rischi reali?
- Sottrazione di dati personali (messaggi, foto, documenti, credenziali)
- Controllo da remoto del dispositivo
- Installazione di spyware o altri programmi malevoli
- Sorveglianza invisibile e persistente, soprattutto nei confronti di soggetti a rischio (giornalisti, attivisti, membri di ONG, politici)
Chi corre più rischi?
L’attacco, almeno per ora, ha colpito target ben precisi e non utenti casuali: l’obiettivo era la sorveglianza. Tuttavia, la pericolosità generale resta elevata perché queste tecniche possono essere riutilizzate in contesti criminali più ampi o rese pubbliche da cybercriminali.
Come proteggersi subito: azioni veloci
Esegui queste azioni anche se non hai ricevuto avvisi specifici:
- Aggiorna WhatsApp da App Store (iOS) o Mac App Store.
- Aggiorna il sistema operativo (iOS/iPadOS e macOS).
- Non ignorare mai notifiche di sicurezza: se WhatsApp ti avvisa o ricevi segnalazioni istituzionali, prendile sul serio.
- Non aprire immagini o messaggi sospetti, anche da contatti noti (gli account possono essere compromessi).
- Attiva l’autenticazione a due fattori su WhatsApp.
- Fai il backup regolarmente di dati e chat in un luogo sicuro.
Cosa fare se pensi di essere stato colpito
Meta raccomanda, in caso di sospetto attacco:
- Esegui un backup dei dati più importanti.
- Ripristina il dispositivo alle impostazioni di fabbrica (reset completo). Attenzione: queste operazioni possono essere impegnative e conviene avere il supporto di esperti se i dati sono molto importanti.
- Cambia le password di account sensibili dopo il reset.
- Contatta centri specializzati di assistenza/sicurezza se rientri in categorie a rischio elevato.
Consigli di sicurezza avanzati
Utenti avanzati e organizzazioni ad alta esposizione dovrebbero:
- Configurare strumenti di rilevamento avanzato per exploit zero-day su WhatsApp e altri servizi di messaggistica.
- Attivare controlli di sicurezza a livello di rete che possano bloccare traffico anomalo.
- Implementare monitoraggio dei dispositivi e allarmi in caso di attività sospette (MDM, EDR con regole Sigma aggiornate).
- Formare il personale rispetto alle minacce zero-click e ai rischi delle immagini/file provenienti da fonti non affidabili.
- Adottare policy di aggiornamento rigorose, garantendo patch tempestive su tutte le piattaforme.
Nel dubbio, chiedi supporto a un esperto di cybersecurity e preferisci app di messaggistica che garantiscano audit di sicurezza pubblici e update frequenti.
Risorse e approfondimenti
Per consultare i dettagli tecnici, cerca le informazioni sulle CVE-2025-55177 e CVE-2025-43300 nei database di sicurezza ufficiali, e verifica regolarmente le note di rilascio di WhatsApp, Apple e delle principali agenzie di cybersecurity.
Le nuove minacce sono sempre più invisibili e difficili da bloccare: la tua migliore difesa resta la consapevolezza e l’aggiornamento costante degli strumenti digitali!
