WhatsApp sotto attacco su alcuni iPhone con iOS 16: come difendersi?

123rf

• Diversi utenti con iPhone su iOS 16 hanno subito compromissioni WhatsApp attraverso un attacco 0-click che invia messaggi dal loro numero.
• L'indagine rileva errori nel parsing immagini e sequenze di 'resync' nei log, compatibili con CVE-2025-43300 e problemi di sincronizzazione.
• Le contromisure consigliate sono aggiornare iOS e WhatsApp, attivare impostazioni restrittive e consultare esperti forensi in caso di compromissione.

Il tuo account WhatsApp? Potrebbe non essere del tutto al sicuro. Negli ultimi giorni stanno emergendo segnalazioni di account compromessi su iPhone: messaggi inviati a nome della vittima, richieste di bonifici ai contatti, tutto senza che il proprietario del telefono abbia fatto nulla.

La parte più inquietante della vicenda non è solo che qualcuno riesca a usare l’account, ma “l’invisibilità” del tutto:  non compare alcun device sconosciuto nella sezione “Dispositivi collegati”, nessun avviso, nessuna traccia visibile.

• Le segnalazioni di Forenser
• Che cos'è l'attacco Zero Click su WhatsApp?
• I rischi
• A cosa fare attenzione e come proteggersi?

Le segnalazioni di Forenser

A fare luce sul problema è stato Forenser, uno studio di informatica forense con sede a Torino, specializzato in indagini digitali e analisi di dispositivi. In pochi giorni, lo studio ha ricevuto diverse segnalazioni indipendenti con un profilo molto simile: account WhatsApp che inviavano messaggi ai contatti chiedendo soldi, mentre i legittimi proprietari non si erano accorti di nulla.

Mettendo a confronto i casi, i tecnici hanno individuato elementi ricorrenti: tutti i dispositivi coinvolti erano iPhone con iOS 16, e in nessuno di essi risultavano dispositivi collegati nell’apposita sezione dell’app.

Nei log di diagnostica estratti dai telefoni è emersa una sequenza anomala di eventi di “resync”, come se due sessioni stessero competendo sullo stesso account. L’ipotesi investigativa è quella di un attacco di tipo 0-click: una compromissione che non richiede alcuna azione da parte della vittima, nessun codice da inserire, nessun QR da inquadrare.

Che cos’è l’attacco Zero Click su WhatsApp?

Come accennavamo, in un attacco zero click, il malvivente non ha bisogno che la vittima faccia qualcosa di sbagliato: non c’è un link da cliccare, non c’è un file da aprire. La compromissione avviene in modo autonomo, sfruttando vulnerabilità presenti nel sistema operativo o nell’applicazione stessa.

Nel caso specifico, Forenser indica come possibile vettore due vulnerabilità note: CVE-2025-43300, legata al modo in cui iOS 16 elabora le immagini attraverso una libreria di sistema, e CVE-2025-55177, una falla in WhatsApp per iOS e macOS che consentiva il parsing di contenuti da URL arbitrari attraverso messaggi di sincronizzazione non correttamente autorizzati.

Le versioni di iOS inferiori alla 16.7.12 risultano esposte. La catena di attacco, parzialmente riprodotta in laboratorio dai tecnici, permette di esportare il materiale crittografico necessario per avviare una nuova sessione WhatsApp altrove, agganciata però all’account della vittima. Il risultato è un client “fantasma” che invia messaggi come se fosse il telefono originale, senza generare alcuna notifica.

I rischi

Chiaramente, il rischio più immediato è economico: il malvivente scrive ai contatti recenti della vittima fingendosi lei, chiedendo bonifici o trasferimenti di denaro. È una truffa che fa leva sulla fiducia, perché il messaggio arriva dal numero reale e dalla chat autentica.

C’è però un secondo livello, meno visibile: chi compie l’attacco sembra avere accesso alle conversazioni recenti, il che significa che può leggere messaggi, conoscere contesti e costruire richieste credibili. Chi riceve la richiesta non ha motivi evidenti per insospettirsi: il mittente è esattamente chi dice di essere.

Va considerato anche il profilo di esposizione nel tempo: finché il dispositivo rimane vulnerabile e la sessione “fantasma” è attiva, la competizione tra il telefono legittimo e il client dell’attaccante continua, con ricadute sulla stabilità dell’app e sulla riservatezza delle comunicazioni.

A cosa fare attenzione e come proteggersi?

Il primo segnale da riconoscere è un comportamento insolito da parte dei propri contatti: messaggi che chiedono spiegazioni su richieste mai fatte, riferimenti a conversazioni che non ricordi: se qualcosa non torna, è il caso di agire subito.

Sul fronte preventivo, la raccomandazione più efficace è aggiornare iOS. Le versioni inferiori alla 16.7.12 risultano vulnerabili, e l’aggiornamento del sistema operativo rimane la contromisura più diretta. Forenser suggerisce inoltre di attivare la Lockdown Mode (disponibile nelle Impostazioni di iOS) per ridurre la superficie d’attacco, e di abilitare la verifica in due passaggi su WhatsApp come misura aggiuntiva.

Se l’account è già compromesso, bloccare le singole chat con codice o impronta digitale sembra impedire all’attaccante di leggerle e scrivere ai relativi contatti. Aggiornare WhatsApp o reinstallarlo con una nuova autenticazione risulta efficace per interrompere la sessione non autorizzata.

Un’avvertenza importante: se ricevi un messaggio sospetto da un contatto che sembra chiederti un bonifico, verifica con una telefonata diretta. Rispondere sulla stessa chat WhatsApp potrebbe non essere sufficiente, perché il messaggio potrebbe arrivare all’attaccante invece che alla persona reale.