Nel corso degli ultimi novanta giorni, un nuovo schema di attacco ha messo a nudo una vulnerabilità rilevante (Zero-Click) nelle versioni iOS e macOS di WhatsApp. Questa falla, segnalata con il codice CVE-2025-55177, ha permesso a soggetti esterni di forzare la visualizzazione di contenuti remoti sui dispositivi compromessi. La falla ha sfruttanto un meccanismo di sincronizzazione tra dispositivi collegati. Il punto di accesso iniziale non ha richiesto alcuna interazione da parte della persona colpita; un semplice messaggio malevolo era sufficiente ad attivare l’intera catena.
Il difetto in questione, presente fino alla versione 2.25.21.73 su WhatsApp per iOS e 2.25.21.78 per le app Business e Mac, è stato corretto da Meta con un aggiornamento d’emergenza. Parallelamente, Apple ha risolto una vulnerabilità di basso livello nel framework ImageIO (CVE-2025-43300); vulnerabilità che veniva combinata con quella di WhatsApp per completare l’attacco. Questa seconda falla consentiva la corruzione della memoria semplicemente attraverso l’elaborazione di un’immagine manipolata.
Il risultato era un exploit a Zero-Click; chi riceveva il contenuto non doveva fare nulla perché il codice maligno si attivasse. Secondo un responsabile del Security Lab di Amnesty International, che ha analizzato gli incidenti, l’operazione era diretta a un numero ristretto di bersagli; tutti con profili di rilievo. Giornalisti, difensori dei diritti civili e persone coinvolte in contesti politici delicati.
Una combinazione di vulnerabilità WhatsApp e Apple
Il funzionamento della catena di exploit si basa su una serie di condizioni precise. Il primo elemento è l’assenza di autorizzazioni complete nel sistema di sincronizzazione dispositivi di WhatsApp. Questo consente l’inoltro di contenuti attraverso URL remoti che vengono processati automaticamente, senza alcuna richiesta di conferma.
Il secondo componente è la vulnerabilità nel framework grafico di Apple. Quando il contenuto remoto includeva una specifica immagine manipolata, il sistema operativo veniva indotto a scrivere dati al di fuori dei limiti di memoria previsti; eseguendo codice arbitrario.
Le due falle agivano in concerto; una apriva la strada, l’altra forniva l’accesso completo al sistema. WhatsApp ha spiegato che l’origine della scoperta è interna al proprio team di sicurezza; mentre Apple ha rilasciato un aggiornamento indipendente, dopo aver ricevuto prove di attacchi in corso.
Il vettore è stato descritto come particolarmente sofisticato, ma è la sua natura invisibile a renderlo ancora più pericoloso. Nessuna finestra di dialogo, nessuna richiesta, nessun clic; tutto avveniva in background, rendendo difficile distinguere tra un normale messaggio e un tentativo di intrusione.
Campagna di sorveglianza: destinatari, finalità e risposte
L’infrastruttura dietro l’attacco non ha puntato a un numero elevato di vittime. WhatsApp ha notificato meno di 200 persone ritenute a rischio, secondo fonti ufficiali. Le segnalazioni sono arrivate in modo diretto; tramite avvisi interni all’applicazione, in cui si suggeriva l’esecuzione di un reset di fabbrica del dispositivo e l’aggiornamento del sistema operativo.
Le indagini condotte da Amnesty International e Citizen Lab suggeriscono che si tratti di un’operazione riconducibile a un attore statale. Non è la prima volta che WhatsApp viene impiegato in campagne di sorveglianza governativa; nel 2019, lo spyware Pegasus sfruttò un difetto simile per infettare oltre 1400 dispositivi.
L’attuale campagna, però, presenta alcune differenze. In questo caso non si è fatto ricorso a link o file scaricabili, ma a contenuti caricati direttamente nel contesto della sincronizzazione tra dispositivi. Questa scelta indica una volontà di minimizzare ogni possibilità di rilevamento, aumentando il margine di successo contro bersagli sensibili.
Meta ha confermato l’incidente, specificando che i problemi sono stati risolti in tempi rapidi e che sono state implementate ulteriori misure per evitare lo stesso schema in futuro.
Una ferita ancora aperta nella sicurezza digitale
Anche se la falla è stata chiusa, la dinamica con cui è stata scoperta e sfruttata lascia spazio a domande. La mancanza di visibilità del meccanismo di intrusione, unita all’uso di tecniche non convenzionali, solleva interrogativi su quanto sia realistico proteggere completamente i dispositivi personali.
La collaborazione tra WhatsApp, Apple e organizzazioni come Amnesty ha prodotto una risposta reattiva e coordinata. Ma le tempistiche della scoperta, la durata dell’esposizione e la natura dei bersagli colpiti dimostrano quanto sia fragile la superficie di sicurezza su cui poggiano le comunicazioni digitali.
Dietro questa vulnerabilità si intravede la strategia del controllo informatico operato attraverso strumenti discreti, invisibili, difficili da dimostrare. Il messaggio, per chi lavora con informazioni delicate o si muove in ambienti governativi, è che non si può essere mai al sicuro da intercettazioni.
