WhatsApp ha confermato di aver corretto una vulnerabilità critica nelle sue applicazioni per iOS e macOS, sfruttata in attacchi mirati negli ultimi mesi. Si tratta di uno scenario da manuale di cyber-spionaggio: un exploit zero-click, in grado di compromettere un dispositivo senza che l’utente debba compiere alcuna azione. Nessun link su cui cliccare, nessun allegato da aprire. Basta ricevere un messaggio malevolo per ritrovarsi spiati.
Secondo i dettagli pubblicati da Meta, la falla – identificata come CVE-2025-55177 – interessava le versioni di WhatsApp per iPhone fino alla 2.25.21.73, oltre a WhatsApp Business e al client per Mac. La patch è arrivata con la release 2.25.21.78. Ma la questione non si esaurisce qui, perché l’exploit è stato concatenato con un bug ancora più profondo, lato sistema operativo, catalogato come CVE-2025-43300. Insieme, le due vulnerabilità hanno dato vita a un’arma capace di bypassare i livelli di protezione di iOS e macOS, in pieno stile Pegasus.
Anatomia di un attacco invisibile
Nel bollettino di sicurezza, WhatsApp ha spiegato che la falla nasceva da un controllo insufficiente dei privilegi durante l’elaborazione dei messaggi di sincronizzazione dei dispositivi collegati. In pratica, un aggressore poteva indurre l’app a processare contenuti provenienti da un URL arbitrario. Una volta forzata questa condizione, entrava in gioco la falla Apple, che consentiva l’esecuzione di codice a livello di sistema.
È il classico paradigma dello zero-click: l’utente riceve un pacchetto malevolo, non clicca nulla, eppure il codice viene eseguito. A quel punto sul dispositivo può comparire qualsiasi payload, spesso spyware modulare in grado di raccogliere messaggi, file, posizione GPS e perfino attivare microfono e fotocamera.
Non a caso Amnesty International ha confermato che WhatsApp, nelle ultime settimane, ha inviato notifiche di compromissione ad alcuni utenti selezionati, avvertendoli che spyware sconosciuti hanno tentato di infiltrarsi nei loro telefoni. L’avviso non lascia spazio a interpretazioni: il vettore è stato bloccato, ma il device potrebbe già essere compromesso. L’unica contromisura definitiva? Ripristino alle impostazioni di fabbrica.
Ecosistema sotto assedio
Il caso di agosto 2025 non è isolato. Già a marzo WhatsApp aveva corretto un altro zero-day sfruttato per distribuire Graphite, spyware del toolkit Paragon. Allora, le indagini di Citizen Lab avevano collegato l’operazione a campagne di sorveglianza contro giornalisti e attivisti della società civile. Anche in questo caso, il pattern si ripete: vulnerabilità zero-day, distribuzione mirata, uso di malware di fascia alta.
Gli indicatori di compromissione (IOC) resi pubblici sono ancora scarsi, ma alcuni ricercatori hanno osservato traffico anomalo diretto a domini generati ad hoc con sintassi randomizzata, del tipo:
sync-service-<random>.icloud-data[.]com
Indizio tipico di infrastrutture “burner”, create e distrutte nel giro di pochi giorni per eludere i sistemi di detection tradizionali.
Implicazioni strategiche
La scelta di WhatsApp di inviare notifiche agli utenti colpiti ricorda quanto avviene da anni con i security alerts di Apple, destinati a persone “potenzialmente bersaglio di attacchi di spyware mercenario”. Una mossa necessaria ma che lascia aperti interrogativi: se l’unica mitigazione certa è il factory reset, quanto tempo intercorre fra l’infezione e la consapevolezza della vittima? E soprattutto, quanto di ciò che è stato esfiltrato in quelle ore resta irrimediabilmente compromesso?
Le zero-click chain come quella tra CVE-2025-55177 e CVE-2025-43300 ci ricordano che la sicurezza mobile non è un gioco di patch cumulative, ma una corsa agli armamenti tra chi sviluppa exploit sempre più sofisticati e chi cerca di arginarli. In questo scontro, gli utenti restano al centro, spesso inconsapevoli, e con un’unica certezza: aggiornare subito, sempre, e tenere pronto il piano più radicale — cancellare tutto e ripartire da zero.