WhatsApp ha corretto il bug “zero-click” utilizzato per hackerare gli utenti con uno spyware.
Venerdì il servizio di messaggistica istantanea di proprietà di Meta Platforms (il colosso social di Mark Zuckerberg) ha dichiarato di aver corretto un bug di sicurezza nelle sue app iOS e Mac, utilizzato per hackerare furtivamente i dispositivi Apple di “utenti specifici”.
Un ricercatore di Amnesty International ha affermato che tra le persone colpite sembrano esserci membri non identificati di gruppi civici, riporta Reuters.
In una breve dichiarazione, la società ha dichiarato di aver risolto la vulnerabilità di sicurezza che ha permesso agli hacker di sfruttare una seconda vulnerabilità sui dispositivi Apple. Inoltre, nella dichiarazione WhatsApp ha affermato che meno di 200 utenti in tutto il mondo sono stati potenzialmente interessati.
Tuttavia, non è la prima volta che gli utenti WhatsApp finiscono nel target di spyware. Basta tornare indietro al 31 gennaio quando WhatsApp ha dichiarato che Paragon Solutions, un produttore israeliano di software di hacking, ha preso di mira circa 90 utenti, tra cui giornalisti e membri della società civile in tutta Italia. Il governo italiano ha negato il proprio coinvolgimento nella campagna di spionaggio.
In quest’ultimo caso, non è chiaro al momento chi, o quale fornitore di spyware, si nasconda dietro gli attacchi.
Tutti i dettagli.
WHATSAPP È CORSO AI RIPARI
Il colosso delle app di messaggistica ha dichiarato nel suo avviso di sicurezza di aver corretto la vulnerabilità, che interessa WhatsApp per iOS e Mac e WhatsApp Business per iOS, nota ufficialmente come CVE-2025-55177, che era stata utilizzata insieme a un’altra falla riscontrata in iOS e Mac, che Apple ha corretto la scorsa settimana e che è stata identificata come CVE-2025-43300.
Apple ha affermato all’epoca che la falla era stata utilizzata in un “attacco estremamente sofisticato contro individui specifici”. Ora sappiamo che decine di utenti WhatsApp sono stati presi di mira da queste due falle.
LA POSIZIONE DEL SECURITY LAB DI AMNESTY INTERNATIONAL
In un post su X, Donncha Ó Cearbhaill, a capo del Security Lab di Amnesty International, ha delineato l’attacco come una “campagna spyware avanzata” che ha preso di mira gli utenti negli ultimi 90 giorni, ovvero dalla fine di maggio. Ó Cearbhaill ha descritto la coppia di bug come un attacco “zero-click”, ovvero non richiede alcuna interazione da parte della vittima, come ad esempio cliccare su un link, per compromettere il suo dispositivo.
I due bug, concatenati insieme, consentono a un aggressore di diffondere un exploit dannoso tramite WhatsApp in grado di rubare dati dal dispositivo Apple dell’utente.
Secondo Ó Cearbhaill, che ha pubblicato una copia della notifica di minaccia inviata da WhatsApp agli utenti interessati, l’attacco è riuscito a “compromettere il dispositivo e i dati in esso contenuti, inclusi i messaggi”.
LA DIFESA DI META
Contattata da TechCrunch, la portavoce di Meta, Margarita Franklin, ha confermato che l’azienda ha rilevato e corretto la falla “qualche settimana fa” e che ha inviato “meno di 200” notifiche agli utenti WhatsApp interessati. La portavoce non ha specificato se WhatsApp abbia prove per attribuire gli attacchi a un aggressore specifico o a un fornitore di sistemi di sorveglianza.
