WhatsApp Zero-Click: cosa ci insegnano i nuovi attacchi spyware
Rientro dalle ferie con una poco piacevole news: una falla critica in WhatsApp, identificata come CVE-2025-55177, è stata sfruttata in attacchi mirati su dispositivi Apple.
Oltre al chiaro allarmismo che ogni utilizzatore della celebre app starà provando, la notizia diffonde anche una più ampia considerazione: non si tratta solo di una semplice vulnerabilità, ma di un esempio concreto di come i cybercriminali stiano imparando a concatenare debolezze diverse a livello di app e di sistema operativo al fine di costruire attacchi sempre più sofisticati e difficili da rilevare.
La vulnerabilità vera e propria:
La falla, codificata come CVE-2025-55177 e già risolta da Meta, riguardava WhatsApp su iOS e macOS e permetteva un attacco di tipo zero-click, ossia senza che la vittima debba aprire un file o cliccare su un link.
In pratica, era sufficiente che l’app fosse installata sul dispositivo per diventare un potenziale bersaglio.
Da sola però non sarebbe bastata all’attività di spionaggio, ed è proprio qui che la questione si fa ancora più preoccupante. Infatti la debolezza Zero-Click è stata sfruttata insieme a un’altra lacuna del sistema Apple (CVE-2025-43300, risolta con la versione iOS 18.6.2).
Lo sfruttamento ragionato e congiunto ha quindi portato alla possibilità di installare spyware in modo invisibile e silenzioso, con un livello di automazione che riduce drasticamente le possibilità di accorgersi dell’attacco.
Episodi come questo non riguardano solo governi o aziende ad alto profilo:
- dimostrano come gli attacchi multilivello stiano diventando standard,
- mostrano che strumenti avanzati finiscono per essere alla portata anche di cybercriminali meno esperti,
- ci ricordano quanto siano esposti i nostri dispositivi quando mescoliamo lavoro e vita privata sullo stesso smartphone o computer.
Un device “promiscuo” usato per chat, social e app personali ma anche per la posta aziendale o documenti di lavoro diventa un punto di ingresso molto più rischioso per l’intera supply chain.
Un malware installato in questo contesto non compromette solo l’utente, ma può avere effetti a catena su colleghi, partner e clienti.
Come possiamo proteggerci:
Non servono competenze tecniche avanzate per ridurre drasticamente i rischi:
- Aggiornare sempre le app e il sistema operativo non appena vengono rilasciate patch di sicurezza.
- Usare solo canali ufficiali per il download delle applicazioni.
- Diffidare di messaggi e contenuti da fonti sconosciute.
- Separare il più possibile il lavoro dalla sfera personale, evitando che un unico device diventi terreno fertile per contaminazioni.
- Se si sospetta un’infezione, ripristinare il dispositivo alle impostazioni di fabbrica e riconfigurarlo con le ultime versioni aggiornate.
Questa casistica WhatsApp, per la sua tangibilità nella vita di ogni giorno, ci dovrebbe far meglio comprendere quanto la cybersecurity non sia più solo una questione tecnica per addetti ai lavori, ma bensì riguardi tutti, quotidianamente.
Attacchi invisibili e silenziosi sono già realtà, e la combinazione di exploit tra applicazioni e sistemi operativi mostra quanto sia fragile l’equilibrio digitale a cui ci affidiamo ogni giorno.
Il messaggio non potrebbe essere più chiaro: la prudenza digitale è parte essenziale della nostra sicurezza personale e professionale.
Fonti Apple e Whatsapp:
