Problemi di sicurezza per WhatsApp, quali dispositivi sono in pericolo?

In Sintesi

• WhatsApp ha scovato una grave falla di sicurezza nelle app per dispositivi con iOS e macOS.
• Questa vulnerabilità zero-click permette agli hacker di installare software malevolo che può essere utilizzato per campagne spyware.

Il team di sviluppo di WhatsApp ha recentemente rilasciato una comunicazione ufficiale in merito a una falla di sicurezza che ha interessato le versioni dell’applicazione per iOS e macOS. Da quello che sappiamo si tratta di una vulnerabilità zero-click che potrebbe consentire ai malintenzionati digitali di eseguire del codice malevolo sui device infetti, senza che l’utente faccia nulla.

Cosa sappiamo della vulnerabilità per iOS e macOS

La vulnerabilità in questione è stata identificata con il codice CVE-2025-55177 ed è stata classificata come zero-click. Come già anticipato, ciò vuol dire essenzialmente che questo tipo di attacco non ha bisogno di specifiche azioni da parte dell’utente, cosa che lo rende estremamente subdolo e molto difficile da rilevare.

Il team di WhatsApp ha specificato che questa falla, se combinata con una vulnerabilità a livello del sistema operativo di Apple, avrebbe potuto essere utilizzata in attacchi molto sofisticati contro utenti specifici (giornalisti, politici, persone in vista ecc).

Non ci sono ancora dati confermati al riguardo ma secondo il Security Lab di Amnesty International, pare che questa vulnerabilità possa essere già stata sfruttata dagli hacker, con diversi utenti finiti loro malgrado in una campagna di spyware

Per dare il via a un attacco del genere, è sufficiente l’esecuzione di codice malevolo a seguito di un evento “passivo”, come la ricezione di un SMS, ad esempio, di una chiamata non risposta o un di file dannoso. Come già accennato, la caratteristica principale e più pericolosa di questi attacchi è la loro “invisibilità”, cosa che rende davvero complessa la loro individuazione da parte dei sistemi di sicurezza e l’implementazione di qualsiasi misura difensiva.

Naturalmente, non si tratta di una minaccia nuova nel settore degli smartphone e già nel 2019, un’altra vulnerabilità in WhatsApp permise l’installazione di spyware tramite una semplice chiamata persa.

Un altro esempio molto conosciuto e molto temuto dagli esperti di sicurezza informatica è lo spyware Pegasus, che ha sfruttato un’altra vulnerabilità zero-day per infettare i dispositivi di giornalisti e attivisti semplicemente tramite la ricezione un messaggio ricevuto tramite iMessage.

Quali versioni di WhatsApp sono a rischio e cosa si può fare

Secondo le dichiarazioni di WhatsApp la vulnerabilità CVE-2025-55177 interessa diverse versioni del software:

• WhatsApp per iOS – versioni precedenti alla 2.25.21.73
• WhatsApp Business per iOS – versioni precedenti alla 2.25.21.78
• WhatsApp per macOS – versioni precedenti alla 2.25.21.78

Ciò che possono fare gli utenti per proteggere i propri device è aggiornare immediatamente l’applicazione alle versioni più recenti e, naturalmente, provvedere anche ad aggiornare il proprio device a una delle ultime release del sistema operativo che, come confermato anche da Apple, vanno a chiudere questa vulnerabilità di sistema, mettendo al sicuro i dispositivi e i dati che contengono.