Una massiccia falla di sicurezza in WhatsApp ha permesso ai ricercatori dell’Università di Vienna di accedere ai dati di 3,5 miliardi di account attivi, rappresentando potenzialmente la più grande esposizione di dati personali mai documentata nella storia. La vulnerabilità risiedeva nel meccanismo di ricerca contatti di WhatsApp, che non implementava alcun limite di velocità alle interrogazioni, consentendo agli attaccanti di verificare miliardi di numeri di telefono senza restrizioni. È fondamentale aggiornare immediatamente l’app WhatsApp, verificare le impostazioni di privacy del profilo e considerare di rendere privata la foto del profilo se si desidera una maggiore protezione. La buona notizia è che i messaggi rimangono protetti dalla crittografia end-to-end e Meta ha finalmente implementato protezioni più rigorose nel settembre 2025.
Ricerca accademica e scoperta della vulnerabilità
Un team di cinque ricercatori dell’Università di Vienna ha condotto uno studio approfondito che evidenzia una delle più grandi falle di sicurezza mai riscontrate in una piattaforma di comunicazione globale. I ricercatori Gabriel Gegenhuber, Philipp É. Frenzel, Maximilian Günther, Johanna Ullrich e Aljosha Judmayer hanno dimostrato come fosse possibile enumerare oltre 3,5 miliardi di account WhatsApp attivi senza incontrare alcun limite di velocità o blocco da parte della piattaforma.
L’esperimento è stato condotto dal dicembre 2024 all’aprile 2025, durante il quale il team ha interrogato oltre 100 milioni di numeri di telefono all’ora attraverso l’infrastruttura di WhatsApp. Hanno utilizzato una API reverse-engineered e hanno sfruttato il fatto che WhatsApp non imponeva alcuna restrizione sulla velocità di interrogazione, nemmeno quando le richieste provenivano da un singolo server universitario utilizzando solo cinque account autenticati.
Il meccanismo dell’attacco
Il team ha sviluppato uno strumento denominato libphonegen, capace di generare un insieme realistico di 63 miliardi di potenziali numeri di telefono cellulare distribuiti su 245 paesi. Questi numeri sono stati poi verificati per la registrazione su WhatsApp utilizzando il protocollo XMPP tramite un client modificato denominato whatsmeow. Al massimo della velocità, i ricercatori sono riusciti a confermare 7.000 numeri al secondo senza essere mai bloccati.
Quello che distingue questa ricerca è il suo carattere di semplicità estrema e scala senza precedenti. Non era necessario alcun sofisticato exploit o accesso privilegiato. La vulnerabilità sfrutta semplicemente la funzione di scoperta contatti di WhatsApp, una caratteristica fondamentale che rende popolare la piattaforma: la possibilità di trovare contatti sincronizzando i numeri di telefono con i server di WhatsApp. Tuttavia, il design di questa funzione era noto essere vulnerabile agli attacchi di enumerazione già dal 2012, e i ricercatori hanno evidenziato come siano state pubblicate avvertenze accademiche anche nel 2021.
I dati esposti
L’accesso non autorizzato ha rivelato informazioni sensibili associate a ciascuno dei 3,5 miliardi di account:
Numeri di telefono: tutti gli utenti identificabili attraverso i numeri di telefono attivi su WhatsApp.
Foto profilo: il 56,7% degli account globali aveva foto profilo pubbliche, con varianze regionali significative raggiungendo l’80% in alcuni paesi dell’Africa occidentale.
Testi “About”: il 29,3% disponeva di testi di stato visibili, alcuni dei quali rivelavano affiliazioni politiche, religiose, orientamento sessuale o link a account di social media esterni.
Chiavi di crittografia: particolarmente allarmante era la scoperta di 2,9 milioni di istanze di riutilizzo di chiave pubblica, incluse chiavi di identità, chiavi pre-firmate e chiavi monouso, compromettendo l’integrità della crittografia end-to-end di WhatsApp.
Etichette commerciali: circa il 9% degli account era etichettato come account commerciale, spesso dovuto a utenti che utilizzavano WhatsApp Business senza comprendere le implicazioni dell’esposizione di dati pubblici.
Implicazioni geopolitiche e di sicurezza
La ricerca ha inoltre identificato milioni di account WhatsApp attivi in paesi dove la piattaforma è ufficialmente vietata, inclusi Cina, Iran, Myanmar e Corea del Nord. Questo rappresenta un rischio significativo per gli utenti in questi paesi, esponendoli a potenziali rischi di sorveglianza statale o persecuzione.
Lo studio ha fornito anche insight a livello demografico sulla distribuzione globale del sistema operativo (Android 81% versus iOS 19%), differenze regionali nel comportamento di privacy e variazioni nella crescita degli utenti tra i diversi paesi.
La risposta ritardata di Meta
Meta è stata informata della vulnerabilità tramite il suo programma bug bounty ad aprile 2025, sei mesi dopo che i ricercatori avevano completato il loro esperimento. L’azienda ha implementato limiti di velocità più rigorosi a partire da ottobre 2025. Tuttavia, è importante notare che Meta era già stata avvertita di questa esatta vulnerabilità da un ricercatore di sicurezza nel 2017, ben otto anni prima.
L’implementazione della protezione ha richiesto un tempo sorprendentemente lungo considerando la semplicità della soluzione: semplicemente implementare un limite di velocità alle interrogazioni. Questa negligenza rappresenta un fallimento significativo nella gestione della sicurezza da parte di Meta, permettendo a una vulnerabilità nota e facilmente correggibile di rimanere esposta per quasi un decennio.
Meta sostiene che i dati esposti erano già pubblici e sottolinea che il contenuto dei messaggi rimane protetto dalla crittografia. Tuttavia, i ricercatori sostengono che la capacità di generare un database globale di utenti, incluse le chiavi crittografiche, pone rischi sostanziali alla sicurezza degli utenti, specialmente in regimi repressivi.
Dichiarazioni responsabili e misure etiche
È degno di nota che i ricercatori hanno agito responsabilmente eliminando in modo sicuro i dati raccolti durante lo studio. L’azienda Meta ha inoltre confermato di non aver trovato prove di attori malintenzionati che abusano di questo vettore di attacco in modo diffuso. Tuttavia, come evidenziato dagli stessi ricercatori, se lo stesso exploit fosse stato utilizzato da attori malintenzionati, il risultato avrebbe rappresentato la più grande perdita di dati della storia.
Lo studio è stato presentato dai ricercatori dell’Università di Vienna e sarà pubblicato alla conferenza NDSS 2026, uno dei forum accademici più prestigiosi nel campo della sicurezza informatica.
Questioni tecniche e crittografiche
Un aspetto particolarmente preoccupante della ricerca riguarda le anomalie crittografiche riscontrate. Tra i 2,9 milioni di istanze di riutilizzo di chiave pubblica, i ricercatori hanno identificato un caso egregious in cui 20 numeri di telefono statunitensi utilizzavano una chiave composta interamente di zeri. Questo suggerisce un’implementazione crittografica rotta o danneggiata, possibilmente proveniente da client di terze parti che interagiscono con l’ecosistema WhatsApp.
La scoperta di questo tipo di anomalie mette in evidenza come la vulnerabilità non sia meramente una questione di privacy, ma possa avere implicazioni dirette sulla sicurezza dei messaggi crittografati stessi.
Contesto storico e avvertimenti precedenti
La vulnerabilità nel meccanismo di ricerca contatti di WhatsApp non era una scoperta completamente nuova. Fin dal 2012, erano stati pubblicati studi accademici che evidenziavano la possibilità di enumerazione. Nel 2021, ulteriori ricerche avevano nuovamente avvertito Meta sulla vulnerabilità. Tuttavia, nonostante queste ripetute avvertenze nel corso di tredici anni, Meta non ha implementato protezioni fondamentali.
Questa storia serve come monito sul costo della negligenza nella sicurezza informatica e sulla necessità di affrontare tempestivamente anche le vulnerabilità apparentemente minori.
Impatto globale della falla
Con 3,5 miliardi di account interessati, il numero di persone potenzialmente colpite rappresenta quasi la metà della popolazione mondiale. WhatsApp rimane la piattaforma di messaggistica più utilizzata al mondo, con una portata globale facilitata dalla sua convenienza e dalla facilità di utilizzo. Tuttavia, questa stessa convenienza ha creato una vulnerabilità che ha esposto informazioni sensibili di miliardi di persone.
Ulteriori vulnerabilità rilevate
In aggiunta alla falla del meccanismo di ricerca contatti, WhatsApp ha anche divulgato una vulnerabilità separata e non correlata (CVE-2025-55179) che interessava WhatsApp per iOS e Mac. Questo bug permetteva il recupero di media da URL arbitrari, anche se Meta ha riferito di non aver trovato prove di sfruttamento attivo in natura. Gli utenti di WhatsApp sono stati esortati ad aggiornare i loro client per beneficiare delle correzioni.
Raccomandazioni operative e di sicurezza approfondite
Aggiornamento immediato: Tutti gli utenti di WhatsApp dovrebbero aggiornare immediatamente la loro app all’ultima versione disponibile nel loro app store rispettivo. Questo garantisce l’accesso alle protezioni di rate-limiting implementate da Meta e a qualsiasi altra correzione di sicurezza.
Gestione della privacy del profilo: Accedere alle impostazioni di privacy di WhatsApp e rendere privata la foto del profilo. Questa azione impedisce ai potenziali attaccanti di raccogliere foto profilo anche se dovessero riuscire a ottenere i numeri di telefono. È possibile farlo accedendo a Impostazioni > Privacy > Foto profilo e selezionando l’opzione “I miei contatti”.
Considerazioni sul testo “About”: Eliminare o modificare il testo “About” del profilo se contiene informazioni sensibili riguardanti affiliazioni politiche, religiose, orientamento sessuale o link a social media personali. Anche se più difficile da sfruttare rispetto alle foto profilo, il testo About è stato coinvolto nella falla.
Verifica dei contatti: Esaminare regolarmente la lista dei contatti e bloccare eventuali numeri sconosciuti che potrebbero aver ottenuto il vostro numero attraverso la falla. Anche se il danno principale è già avvenuto, bloccare contatti sconosciuti può prevenire futuri abusi.
Utilizzo di account aziendali: Se non siete proprietari di attività, evitate di etichettare il vostro account come “Business” poiché questo aumenta la visibilità dei dati del profilo. Gli account Business espongono ulteriori informazioni.
Monitoraggio della sicurezza: Monitorare attentamente i propri account associati (email, numero di telefono) per segni di accesso non autorizzato. Se notate attività sospette, cambiate immediatamente le password.
Valutazione della geolocalizzazione: Se risiedete in paesi dove WhatsApp è ufficialmente vietato, considerate le ulteriori implicazioni di sicurezza e di privacy della continuazione dell’uso della piattaforma.
Educazione sui rischi: Informare amici e familiari sulla vulnerabilità e su come proteggere i loro account WhatsApp seguendo i passaggi sopra descritti.
Segnalazione di attività sospette: Se osservate attività sospette sul vostro account WhatsApp, segnalate immediatamente l’attacco a Meta tramite il suo Centro di supporto.
Backup e comunicazioni sensibili: Per comunicazioni estremamente sensibili, considerare l’utilizzo di canali di comunicazione alternativi finché Meta non fornirà ulteriori garanzie sulla sicurezza della piattaforma.
Fonte: https://cybersecuritynews.com/whatsapp-vulnerability-exposes-3-5-billion-users
