Attacco WhatsApp zero-click su iPhone: come proteggersi

Attacco WhatsApp zero-click su iPhone: come proteggersi

Attacco WhatsApp zero-click su iPhone: come proteggersi

Se usi WhatsApp su iPhone, la prima cosa da fare è aggiornare subito iOS e WhatsApp. Questo tipo di attacco può avvenire senza clic, senza avvisi e senza che compaiano dispositivi collegati sospetti, quindi la rapidità nell’aggiornamento è la difesa più efficace.

Negli ultimi giorni è emerso un caso che ha attirato molta attenzione nel settore della sicurezza mobile: alcuni utenti iPhone avrebbero visto il proprio account WhatsApp usato da terzi senza aver toccato alcun link, senza aver scansionato codici QR e senza segnali evidenti di accesso non autorizzato. Il punto più preoccupante è che l’attacco sarebbe stato progettato per agire in silenzio, rendendo più difficile per la vittima accorgersi del problema in tempo.

Cosa sta succedendo

L’ipotesi al centro dell’indagine è quella di una catena di exploit zero-click, cioè una sequenza di vulnerabilità che consente di compromettere un dispositivo o un account senza alcuna interazione dell’utente. In questo scenario, i criminali informatici avrebbero puntato soprattutto su iPhone con iOS 16, con segnalazioni che riguardano diversi modelli dalla gamma iPhone 8 fino a iPhone 14.

Le vittime avrebbero notato comportamenti insoliti, come messaggi inviati dal proprio account per chiedere denaro o per spingere altre azioni fraudolente. Tuttavia, nel pannello dei dispositivi collegati di WhatsApp non comparirebbero nuove sessioni sospette, un dettaglio che complica la diagnosi e rende l’attacco ancora più insidioso.

Perché questo attacco è diverso

Molti attacchi contro WhatsApp fanno leva sul phishing, su pagine false o su tecniche che richiedono un errore da parte dell’utente. In questo caso, invece, l’elemento critico è proprio l’assenza di azione da parte della vittima. Non serve cliccare, non serve autorizzare nulla e non serve scansionare un codice QR.

Questo rende il problema più serio per due motivi:

  • l’utente non ha un chiaro momento in cui “è successo qualcosa”;
  • i segnali di compromissione possono essere nascosti nei registri tecnici del sistema, non nell’interfaccia normale dell’app.

Secondo l’analisi forense descritta nel materiale disponibile, nei log unificati di iOS sarebbero comparsi eventi di “resync” anomali. Questo suggerisce che il dispositivo della vittima e il client dell’attaccante avrebbero cercato di mantenere il controllo della stessa sessione WhatsApp in parallelo.

Come potrebbe funzionare la compromissione

L’ipotesi tecnica è che gli aggressori combinino due vulnerabilità distinte per raggiungere il risultato finale. La prima riguarda Apple ImageIO, una componente che gestisce il trattamento delle immagini; la seconda riguarda la sincronizzazione dei dispositivi collegati di WhatsApp su specifiche versioni di iOS.

In pratica, il flusso d’attacco descritto sarebbe questo:

  • una componente malevola sfrutta un problema nell’elaborazione di un’immagine;
  • il payload ottenuto consente di estrarre dati crittografici della sessione;
  • i dati raccolti vengono usati per avviare un client WhatsApp non autorizzato;
  • l’accesso avviene senza creare una normale voce visibile tra i dispositivi collegati.

Questo aspetto è particolarmente rilevante perché rompe uno dei principali controlli di sicurezza percepiti dagli utenti: la verifica manuale dei dispositivi associati all’account.

Perché iOS 16 è nel mirino

Il caso descritto riguarda soprattutto dispositivi con iOS 16 e versioni precedenti rispetto alla soglia corretta indicata dagli aggiornamenti di sicurezza. Il problema non è solo il sistema operativo in sé, ma il fatto che una versione non aggiornata può mantenere aperta una finestra di esposizione utile agli aggressori.

Quando una vulnerabilità nota resta presente su un gran numero di dispositivi, gli attaccanti possono sfruttarla su larga scala. Questo è particolarmente vero nel mobile, dove molti utenti rimandano gli update per abitudine, per timore di rallentamenti o semplicemente perché non percepiscono il rischio come immediato.

Segnali da non ignorare

Anche se l’attacco sarebbe progettato per essere discreto, ci sono alcuni indizi che meritano attenzione:

  • messaggi inviati dal tuo account senza il tuo consenso;
  • richieste di denaro o urgenze anomale rivolte ai tuoi contatti;
  • sessioni WhatsApp apparentemente normali ma con attività che non riconosci;
  • errori insoliti nell’elaborazione di immagini o allegati;
  • comportamenti strani dopo la ricezione di file multimediali.

Se noti uno di questi segnali, considera il tuo account potenzialmente compromesso, anche se nell’area dei dispositivi collegati non compare nulla di sospetto.

Cosa fare subito

Agisci in questo ordine: aggiorna, verifica, reimposta. Questa sequenza riduce sia il rischio di nuova compromissione sia la possibilità che una sessione attiva resti viva in background.

Ecco i passaggi più utili:

  • aggiorna iOS all’ultima versione disponibile;
  • aggiorna WhatsApp dall’App Store;
  • controlla le chat per messaggi inviati senza autorizzazione;
  • esci da WhatsApp e accedi di nuovo da un dispositivo pulito, se necessario;
  • reinstallare l’app può aiutare a invalidare sessioni sospette;
  • attiva il blocco chat per proteggere le conversazioni sensibili;
  • avvisa i contatti se hai motivo di credere che il tuo account sia stato usato in modo fraudolento.

Se hai ricevuto o inviato richieste di denaro, contatta direttamente la persona coinvolta con un canale alternativo, come una telefonata. Questo è importante perché gli aggressori potrebbero inserirsi in una conversazione già in corso e sfruttare la fiducia tra i contatti.

Perché la verifica manuale non basta sempre

Di solito, controllare i dispositivi collegati è uno dei primi passi consigliati quando si sospetta un furto di account. In questo caso, però, il fatto che l’attacco possa non lasciare una voce evidente rende quel controllo insufficiente da solo.

Per questo motivo, la sicurezza non può dipendere solo dall’interfaccia utente. Servono anche aggiornamenti tempestivi, attenzione ai messaggi anomali e, nei casi più delicati, una verifica più tecnica dei log di sistema o un supporto forense specializzato.

Impatto più ampio sulla sicurezza mobile

Questo episodio si inserisce in una tendenza più ampia: gli exploit zero-click, in passato associati soprattutto a operazioni molto sofisticate, sono sempre più interessanti anche per gruppi criminali motivati dal guadagno economico. Il valore di un accesso WhatsApp non autorizzato è alto, perché permette di colpire rapidamente la rete di contatti della vittima con truffe, richieste di denaro e campagne di impersonificazione.

La combinazione tra dispositivi non aggiornati, app di messaggistica ampiamente diffuse e vulnerabilità pubblicamente note crea un ambiente favorevole agli attaccanti. In altre parole, il problema non riguarda solo chi è già stato colpito, ma chiunque continui a usare software vecchio o configurazioni non protette.

Come ridurre il rischio nel tempo

Oltre all’aggiornamento immediato, conviene adottare alcune abitudini preventive:

  • mantieni sempre aggiornati sistema operativo e app;
  • controlla periodicamente l’attività del tuo account;
  • evita di aprire file o immagini inattese anche se arrivano da contatti noti;
  • usa funzioni di protezione come blocco app e blocco chat quando disponibili;
  • tratta con cautela qualsiasi richiesta urgente di denaro o informazioni personali.

Queste misure non eliminano tutti i rischi, ma alzano sensibilmente la barriera contro gli attacchi più comuni e contro quelli più avanzati.

Technical Deep Dive

L’attacco descritto sembra basarsi sulla combinazione di una vulnerabilità di esecuzione tramite immagine e di un difetto nella gestione delle sessioni collegate di WhatsApp su iOS vulnerabili. In questo tipo di scenario, il payload iniziale potrebbe sfruttare CVE-2025-43300 nel componente ImageIO per ottenere un controllo iniziale del flusso di elaborazione, mentre CVE-2025-55177 potrebbe essere usata per manipolare la sincronizzazione dei messaggi relativi ai dispositivi collegati.

La presenza di eventi di “resync” nei log unificati di iOS suggerisce che il client malevolo non si limiterebbe a rubare credenziali tradizionali, ma cercherebbe di replicare o intercettare i parametri di sessione necessari per agganciarsi all’account già attivo. Questo spiegherebbe perché l’account dell’utente resta apparentemente funzionante, ma la conversazione viene condivisa con un altro endpoint non visibile nell’elenco standard dei dispositivi collegati.

Dal punto di vista difensivo, il problema è particolarmente complesso perché l’indicatore principale non è un login classico, ma una desincronizzazione anomala tra lo stato reale della sessione e ciò che l’app mostra all’utente. In termini pratici, questo significa che una risposta efficace può richiedere:

  • analisi forense dei log di sistema;
  • confronto tra timestamp di elaborazione immagini e invio messaggi;
  • verifica di eventuali crash o errori ImageIO correlati a file multimediali ricevuti;
  • controllo delle versioni esatte di iOS e WhatsApp installate;
  • invalidazione completa delle sessioni attive tramite reinstallazione e reautenticazione.

In un’indagine tecnica, la correlazione temporale tra ricezione di contenuti multimediali, errori di parsing delle immagini e comparsa di messaggi non autorizzati sarebbe un elemento chiave per distinguere un semplice abuso dell’account da un compromesso zero-click più profondo. Per gli ambienti aziendali o per utenti ad alto rischio, può essere utile conservare i registri del dispositivo prima di procedere con reset o reinstallazioni, così da non perdere eventuali indicatori utili all’analisi.

Fonte: https://cybersecuritynews.com/0-click-whatsapp-target-ios-16-users/

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto