WhatsApp è ora più sicuro: Meta ha recentemente risolto una vulnerabilità zero-click che consentiva attacchi invisibili. Aggiornare l’app è essenziale per proteggere le chat e i dati personali da attacchi informatici.
Questa vulnerabilità, scoperta dal team Google Project Zero, ha esposto milioni di utenti a intrusioni senza alcuna azione da parte della vittima. La buona notizia è che il problema è stato risolto, sebbene dopo una lunga attesa e intensa pressione pubblica. Questo articolo esplora l’accaduto, la modalità di attacco e le azioni da intraprendere per garantire la sicurezza degli utenti.
La storia del bug che ha scosso WhatsApp
La storia ha inizio nel settembre 2025, quando i ricercatori di Google Project Zero hanno identificato una grave vulnerabilità nell’app WhatsApp per Android. Il metodo di attacco era subdolo: un hacker poteva aggiungere una vittima a un gruppo WhatsApp specifico e inviare file multimediali che si scaricavano automaticamente nel database MediaStore del dispositivo. Se il file era opportunamente elaborato, poteva innescare operazioni dannose all’interno del database e, nei casi più gravi, propagarsi a parti del sistema operativo.
Questo attacco, definito zero-click, non richiedeva alcun clic da parte dell’utente: era sufficiente ricevere un messaggio per essere compromessi. Google ha segnalato privatamente la questione a Meta, concedendo il consueto termine di 90 giorni per la correzione, secondo le procedure standard. Tuttavia, a novembre 2025, Meta ha fornito solo una patch parziale e, al termine del termine, Google ha reso pubblici i dettagli, dando inizio a uno scandalo globale.
Questa situazione ha messo in luce le difficoltà di un’azienda come Meta, dotata di vasti mezzi, nel risolvere una vulnerabilità critica in tempo. La pressione dei media si è rivelata efficace, portando a una risoluzione completa del bug. Il ricercatore ha confermato che Meta non solo ha affrontato il problema principale, ma ha anche identificato e corretto varianti simili durante il processo.
Impatto sugli utenti e lezioni apprese
Fortunatamente, non esistono prove di sfruttamenti estesi, ma il rischio era elevato per miliardi di utenti che utilizzano WhatsApp per comunicazioni private, lavorative e quotidiane. Questa vicenda evidenzia l’importanza della trasparenza nella sicurezza informatica: le segnalazioni private sono utili, ma i termini pubblici assicurano che le aziende agiscano in modo appropriato.
Meta ha le capacità necessarie per essere un leader nella sicurezza, ma ha impiegato del tempo supplementare per risolvere il problema dopo l’esposizione pubblica. Pertanto, per gli utenti, il messaggio è chiaro: mantenere sempre l’app aggiornata. Le notifiche push di WhatsApp ora includono avvisi su patch critiche, e ignorarle può esporre a rischi non necessari.
Nel contempo, sono emersi dettagli su vulnerabilità correlate nelle piattaforme Apple. Ad esempio, la falla CVE-2025-55177 in WhatsApp per iOS e Mac, insieme a CVE-2025-43300 di Apple, permetteva attacchi mirati su utenti specifici. Meta e Apple hanno rilasciato patch tra luglio e agosto 2025, colpendo versioni precedenti di WhatsApp iOS inferiori alla 2.25.21.73. Decine di utenti sono stati avvisati e invitati a ripristinare i dispositivi.
Consigli pratici per la sicurezza
- Aggiornare WhatsApp immediatamente: Visitare l’App Store o Google Play e installare l’ultima versione.
- Abilitare backup crittografati: Proteggere chat e media da accessi non autorizzati.
- Monitorare gruppi sospetti: Abbandonare gruppi sconosciuti e segnalare amministratori dubbiosi.
- Utilizzare antivirus affidabili: Su Android, applicazioni come Google Play Protect possono aiutare a fermare le minacce.
- Attivare la verifica in due passaggi: Aggiungere un ulteriore livello di protezione contro il furto di account.
Questi semplici passi possono ridurre significativamente i rischi, anche in caso di vulnerabilità future.
Approfondimenti su altri bug recenti
Il problema della vulnerabilità nella versione beta di Android non è stato l’unico: a metà 2025, sono stati riscontrati crash in chat e gruppi, risolti con l’aggiornamento 2.25.23.16. Problemi di sincronizzazione delle notifiche causavano blocchi, ma il feedback degli utenti ha accelerato la correzione. Eventi come questi ribadiscono l’importanza della community beta, fondamentale per un’app utilizzata da 2 miliardi di persone.
Analisi tecnica approfondita
Per gli esperti, ecco i dettagli sul funzionamento del bug principale, come descritto nella divulgazione di Google Project Zero.
L’attacco sfrutta il MediaStore database su Android, un componente di sistema dedicato alla gestione dei file multimediali. Quando un utente viene aggiunto a un gruppo (tramite invito forzato o sfruttamento di gruppo), l’hacker invia media che bypassano i controlli di download automatico. Questo payload malevolo può trovarsi in un file immagine o video con exploit incorporato:
- Fase 1 – Inserimento: Il media entra in MediaStore senza permessi espliciti dall’utente, grazie a una gestione errata delle autorizzazioni di gruppo.
- Fase 2 – Attivazione: Il database elabora il file, eseguendo codice arbitrario attraverso buffer overflow o heap corruption nel parser multimediale.
- Fase 3 – Propagazione: Dalla sandbox di MediaStore, l’exploit può propagarsi al processo principale, potenzialmente elevando privilegi per accesso root o installazione di spyware.
La patch di Meta ha introdotto controlli rigorosi sulle autorizzazioni per i media nei gruppi, bloccando i download automatici da fonti non fidate. Inoltre, sono state implementate mitigazioni server-side per prevenire aggiunte forzate a gruppi compromessi.
Per le varianti iOS/Mac (CVE-2025-55177), il vettore d’attacco si trova nei messaggi di sincronizzazione dispositivi collegati. La mancanza di controlli su URL arbitrari permette il download di contenuti remoti, insieme a out-of-bounds write in ImageIO (CVE-2025-43300). La catena di exploit include:
- Sincronizzazione che forza il download da URL controllati da hacker.
- Immagini corrotte causano memory corruption.
- Esecuzione di codice remoto (RCE) senza interazione.
Versioni patchate:
| Piattaforma | Versione vulnerabile | Versione sicura |
|---|---|---|
| WhatsApp iOS | < 2.25.21.73 | 2.25.21.73+ |
| WhatsApp Business iOS | < 2.25.21.78 | 2.25.21.78+ |
| WhatsApp Mac | < 2.25.21.78 | 2.25.21.78+ |
Meta ha raccomandato un ripristino alle impostazioni di fabbrica per gli utenti notificati, dato il rischio di persistenza di spyware. In ambito Android, il bug Project Zero ha coinvolto catene di attacco simili, con mitigazione parziale lato server prima della patch totale.
Implicazioni per sviluppatori: La necessità di studiare un rigido sandboxing per i gestori di media è fondamentale. È consigliabile utilizzare ASLR, DEP e CFI per mitigare gli exploit e testare con fuzzing componenti simili a MediaStore.
Questa vicenda evidenzia l’importanza di programmi di bug bounty efficaci e di una risposta tempestiva. WhatsApp continua a essere una piattaforma sicura dopo la patch, ma la vigilanza è un aspetto cruciale nella cybersecurity.
Fonte: Link all’articolo originale
