WhatsApp è ora più sicuro: Meta ha finalmente tappato la falla zero-click che permetteva attacchi invisibili. Aggiorna subito l’app per proteggere chat e dati personali da hacker malintenzionati.
Questa vulnerabilità, scoperta dal team Google Project Zero, ha messo a rischio milioni di utenti permettendo intrusioni senza alcuna azione da parte della vittima. La buona notizia? Il problema è risolto, ma solo dopo mesi di pressione pubblica. In questo articolo scopriamo cos’è successo, come funziona l’attacco e cosa fare per stare tranquilli.
La storia del bug che ha scosso WhatsApp
Tutto inizia a settembre 2025, quando i ricercatori di Google Project Zero individuano una falla seria nell’app WhatsApp per Android. Il metodo d’attacco era subdolo: un hacker poteva aggiungere la vittima a un gruppo WhatsApp in modo specifico, inviare file multimediali che si scaricavano automaticamente nel database MediaStore del dispositivo. Se il file era crafted con cura, scatenava operazioni dannose all’interno del database e, nei casi peggiori, si propagava ad altre parti del sistema operativo.
Si tratta di un classico attacco zero-click, ovvero l’utente non deve cliccare nulla: basta ricevere il messaggio per essere compromessi. Google segnala privatamente il problema a Meta, concedendo i canonici 90 giorni per la correzione, come da policy standard. Ma a novembre 2025, Meta fornisce solo una patch parziale. Il tempo scade, Google pubblica i dettagli e scoppia lo scandalo mondiale.
La figuraccia per Meta è servita: un’azienda con risorse immense che non riesce a fixare una vulnerabilità critica in tempo. La pressione mediatica ha funzionato, e ora il bug è contrassegnato come completamente risolto. Il ricercatore ha confermato che Meta non solo ha corretto il problema principale, ma ha individuato e tappato anche varianti simili durante il processo.
Impatto sugli utenti e lezioni apprese
Fortunatamente, non ci sono prove di sfruttamenti diffusi, ma il rischio era alto per miliardi di utenti che si affidano a WhatsApp per comunicazioni private, lavoro e vita quotidiana. Questa vicenda sottolinea l’importanza della trasparenza nella sicurezza informatica: le segnalazioni private sono essenziali, ma la scadenza pubblica garantisce che le aziende agiscano.
Meta ha le risorse per essere leader in sicurezza, eppure ha impiegato mesi extra solo dopo l’esposizione pubblica. Per gli utenti, il messaggio è chiaro: mantieni l’app sempre aggiornata. Le notifiche push di WhatsApp ora includono avvisi su patch critiche, e ignorarle può esporre a rischi inutili.
Parallelamente, emergono dettagli su vulnerabilità correlate su piattaforme Apple. Ad esempio, la falla CVE-2025-55177 in WhatsApp per iOS e Mac, combinata con CVE-2025-43300 di Apple, permetteva violazioni mirate su utenti specifici. Meta e Apple hanno rilasciato patch tra luglio e agosto 2025, colpendo versioni precedenti come WhatsApp iOS sotto la 2.25.21.73. Decine di utenti sono stati notificati e invitati a resettare i dispositivi.
Consigli pratici per la tua sicurezza
- Aggiorna WhatsApp immediatamente: Vai su App Store o Google Play e installa l’ultima versione.
- Abilita backup crittografati: Proteggi chat e media da accessi non autorizzati.
- Monitora gruppi sospetti: Esci da gruppi sconosciuti e segnala amministratori dubbi.
- Usa antivirus affidabili: Su Android, app come quelle di Google Play Protect aiutano a intercettare minacce.
- Attiva verifica in due passaggi: Aggiunge uno strato extra contro account hijack.
Questi passi semplici riducono drasticamente i rischi, anche in caso di future vulnerabilità.
Approfondimenti su altri bug recenti
Non è stato l’unico intoppo: a metà 2025, la beta Android ha sofferto di crash in chat e gruppi, risolti con l’update 2.25.23.16. Problemi di sincronizzazione notifiche causavano freeze, ma il feedback utenti ha accelerato la fix. Casi come questi rafforzano la community beta, essenziale per un’app usata da 2 miliardi di persone.
Analisi tecnica approfondita
Per gli esperti, ecco i dettagli sul funzionamento del bug principale, basato sulla divulgazione di Google Project Zero.
L’attacco sfrutta il MediaStore database su Android, un componente di sistema per gestire file multimediali. Quando un utente è aggiunto a un gruppo (tramite invito forzato o exploit di gruppo), l’hacker invia media che bypassano i controlli di download automatico. Il payload malevolo è un file immagine o video con exploit incorporato:
- Fase 1 – Inserimento: Il media atterra in MediaStore senza permessi espliciti dall’utente, grazie a una gestione errata delle autorizzazioni di gruppo.
- Fase 2 – Trigger: Il database elabora il file, eseguendo codice arbitrario via buffer overflow o heap corruption nel parser multimediale.
- Fase 3 – Escape: Dal sandbox di MediaStore, l’exploit si propaga al processo principale, potenzialmente elevando privilegi per accesso root o installazione spyware.
La patch di Meta introduce controlli rigorosi sulle autorizzazioni per media in gruppi, bloccando download automatici da fonti non fidate. Inoltre, mitigazioni server-side prevengono aggiunte forzate a gruppi compromessi.
Per le varianti iOS/Mac (CVE-2025-55177), il vettore è nei messaggi di sincronizzazione dispositivi collegati. Mancati controlli su URL arbitrari permettono fetch di contenuti remoti, combinati con out-of-bounds write in ImageIO (CVE-2025-43300). L’exploit chain:
- Sincronizzazione forza download da URL hacker-controllato.
- Immagine corrotta causa memory corruption.
- Esecuzione codice remoto (RCE) senza interazione.
Versioni patchate:
| Piattaforma | Versione vulnerabile | Versione sicura |
|---|---|---|
| WhatsApp iOS | < 2.25.21.73 | 2.25.21.73+ |
| WhatsApp Business iOS | < 2.25.21.78 | 2.25.21.78+ |
| WhatsApp Mac | < 2.25.21.78 | 2.25.21.78+ |
Meta raccomanda reset fabbrica per utenti notificati, dato il rischio di persistenza spyware. In ambito Android, il bug Project Zero coinvolgeva zero-day chain simili, con mitigazione parziale lato server prima della full patch.
Implicazioni per sviluppatori: Studia sandboxing rigoroso per media handlers. Usa ASLR, DEP e CFI per mitigare exploit. Testa con fuzzing su MediaStore-like components.
Questa vicenda evidenzia la necessità di bug bounty efficaci e response rapidi. WhatsApp resta sicura post-patch, ma la vigilanza è eterna in cybersecurity.
Fonte: https://www.punto-informatico.it/whatsapp-bug-risolto-ci-voleva-scandalo-pubblico/
