Una falla che riguarda WhatsApp su iPhone con iOS 16 sta facendo discutere parecchio, e il motivo è tutt’altro che banale. Un gruppo di ricercatori italiani della società Forenser ha scoperto una nuova tipologia di attacco 0-click che permette a soggetti esterni di inviare messaggi dal profilo WhatsApp della vittima. Il tutto senza lasciare alcuna traccia nei dispositivi collegati e, soprattutto, senza che l’utente debba fare assolutamente nulla. Nessun tap, nessun link aperto, nessuna autorizzazione concessa. È il tipo di minaccia che fa venire i brividi proprio perché è completamente silenziosa.
Il meccanismo sfrutta una vulnerabilità presente nel sistema di accoppiamento multi-dispositivo di WhatsApp. In pratica, un attaccante riesce ad associare un proprio dispositivo al profilo della vittima, ottenendo la possibilità di operare come se fosse un terminale collegato legittimamente. La cosa inquietante è che questo collegamento fantasma non compare nella lista dei dispositivi collegati visibile nelle impostazioni dell’app. Chi subisce l’attacco non ha modo di accorgersene, almeno non con i controlli standard a disposizione.
Da strumento di spionaggio governativo a veicolo di truffe
Questo tipo di tecnica non è del tutto nuovo nel panorama della sicurezza informatica. Attacchi simili, basati su vulnerabilità 0-click, sono stati storicamente utilizzati da attori legati a governi e agenzie di intelligence, con strumenti sofisticati destinati alla sorveglianza mirata. La differenza, stavolta, è che la tecnica sembra essere migrata verso un uso molto più “terra terra”: le truffe. Ed è proprio questo passaggio a renderla pericolosa su scala molto più ampia, perché non si parla più di bersagli selezionati ma potenzialmente di chiunque utilizzi WhatsApp su iPhone con versioni del sistema operativo non aggiornate.
Il fatto che l’attacco funzioni specificamente su dispositivi con iOS 16 suggerisce che le versioni più recenti del sistema operativo Apple abbiano introdotto protezioni che rendono più difficile, se non impossibile, sfruttare questa falla. Ma il problema è che una fetta ancora significativa di utenti non ha aggiornato il proprio iPhone, vuoi per pigrizia, vuoi perché il dispositivo non supporta versioni successive di iOS.
Cosa succede in pratica e perché è così insidioso
Dal punto di vista pratico, chi porta a termine l’attacco può inviare messaggi ai contatti della vittima spacciandosi per quella persona. E qui si apre lo scenario peggiore: richieste di denaro, link malevoli inviati ad amici e familiari, tentativi di phishing costruiti con una credibilità altissima. Perché se il messaggio arriva davvero dall’account di una persona conosciuta, la soglia di diffidenza si abbassa enormemente.
La scoperta di Forenser mette in luce quanto anche piattaforme considerate sicure possano nascondere punti deboli significativi. WhatsApp utilizza la crittografia end-to-end, che protegge il contenuto dei messaggi durante il transito, ma questo tipo di attacco aggira completamente quella protezione perché agisce a un livello diverso: non intercetta i messaggi, li genera direttamente dal profilo della vittima.
Per chi possiede un iPhone ancora fermo a iOS 16, il consiglio che emerge dalla vicenda è piuttosto chiaro: aggiornare il sistema operativo il prima possibile rappresenta la contromisura più immediata. Controllare periodicamente la lista dei dispositivi collegati su WhatsApp resta comunque una buona pratica, anche se in questo caso specifico l’attacco riesce a eludere proprio quel tipo di verifica.
