Una ricerca dell’Università di Vienna e di SBA Research ha evidenziato una vulnerabilità sorprendente in WhatsApp, rivelando una situazione che ha richiesto un intervento diretto da parte di Meta. Gli studiosi non hanno violato server, né usato tecniche sofisticate. È bastato sfruttare la normale funzione di controllo dei contatti. Quella che permette all’app di verificare se un numero presente in rubrica è associato a un account attivo. Automatizzando questo processo con uno script, i ricercatori hanno inviato un numero enorme di interrogazioni alla versione web del servizio, mappando oltre tre miliardi e mezzo di account in 245 paesi.
L’Italia risulta particolarmente coinvolta con più di 155 milioni di profili identificati. Il numero più alto appartiene però all’India, che supera i 600 milioni di utenti registrati. La ricerca ha mostrato anche la presenza di account in paesi dove l’app risulta vietata, come Cina, Myanmar e Corea del Nord, un dettaglio che rivela la diffusione della piattaforma anche in contesti dove l’accesso è considerato illecito. Gli studiosi hanno potuto recuperare foto profilo, stati pubblici e informazioni sui dispositivi collegati. Sono state individuate anche alcune chiavi pubbliche, senza però compromettere i contenuti protetti dalla crittografia end-to-end, che resta sicura.
Meta chiude la falla di WhatsApp dopo mesi di dialogo con i ricercatori
Il problema non era nuovo. Già nel 2017 era stata mostrata una falla simile su scala molto più ridotta. La differenza, questa volta, riguarda l’estensione dell’esperimento. L’attuale ricerca ha dimostrato che WhatsApp non applicava limiti reali alle interrogazioni e non reagiva nemmeno quando venivano inviate richieste a ritmo elevato. I ricercatori non hanno ricevuto blocchi, messaggi di avviso o richieste di spiegazioni.
Dopo mesi di comunicazioni e segnalazioni, Meta ha deciso di intervenire e modificare i meccanismi di controllo dei contatti, introducendo limiti automatici e nuove protezioni. Le correzioni sono entrate in funzione all’inizio di ottobre 2025 e sono state verificate dagli stessi autori dello studio, che hanno confermato l’efficacia delle contromisure.
La questione ha riportato l’attenzione su un tema importante: la gestione della privacy in un sistema che si basa sui numeri di telefono come identificatori principali. L’episodio dimostra come anche funzioni apparentemente innocue possano esporre informazioni sensibili quando utilizzate su larga scala. La reazione di Meta chiude una vulnerabilità rimasta attiva per anni, ma mostra anche quanto sia importante continuare a monitorare metodi e automatismi presenti nelle piattaforme più diffuse.
