Una vulnerabilità tutt’altro che nuova sta creando problemi seri a chi usa WhatsApp su iOS senza aver aggiornato il proprio iPhone. A segnalarlo è la società di cybersicurezza italiana Forenser, che ha individuato una campagna di attacchi zero click ancora attiva, capace di colpire senza che la vittima debba fare assolutamente nulla. Nessun link da cliccare, nessun allegato da aprire. Il meccanismo è del tutto invisibile e, una volta completato, permette agli attaccanti di inviare messaggi ai contatti della persona colpita chiedendo denaro, operando come se fossero il legittimo proprietario dell’account.
La vulnerabilità in questione è catalogata come CVE-2025-43300 e potrebbe essere sfruttata insieme alla CVE 2025-55177. Nonostante le sigle facciano riferimento al 2025, si tratta di falle già note e corrette da tempo con il rilascio di iOS 16.7.12. Questo significa che la patch è disponibile praticamente per tutti gli iPhone a partire dal modello 8 in avanti. Eppure, i casi individuati dai ricercatori riguardano tutti dispositivi Apple ancora fermi a iOS 16, per lo più modelli che vanno da iPhone 8 fino a iPhone 14. Le indagini sono ancora in corso e la situazione potrebbe evolversi, ma la teoria avanzata da Forenser appare piuttosto solida.
Come funziona l’attacco e perché è così insidioso
Il punto che rende questa minaccia particolarmente grave è proprio la natura zero click dell’attacco. Non serve alcuna azione da parte dell’utente: la falla consente di intercettare le chiavi crittografiche necessarie per avviare una sessione di WhatsApp a nome della vittima su un altro dispositivo. Da quel momento in poi, chi attacca può agire liberamente, scrivere ai contatti, chiedere soldi, il tutto senza che il proprietario dell’account se ne accorga.
È esattamente il tipo di scenario che spiega perché il tema del supporto software viene sempre discusso con una certa passione tra chi segue da vicino il mondo della tecnologia. Tra il pubblico meno tecnico, invece, la questione tende a passare quasi inosservata. Ed è comprensibile, in fondo: uno smartphone che non riceve più aggiornamenti continua a funzionare come prima, magari qualche app smette di essere compatibile nei casi peggiori, ma nulla di drammatico. Almeno in apparenza. Poi succedono cose come questa, e il quadro cambia parecchio.
Come proteggersi: aggiornare è l’unica vera difesa
La contromisura più efficace resta la prevenzione. Chi possiede un iPhone dovrebbe aggiornare iOS alla versione più recente disponibile per il proprio modello. La maggior parte dei dispositivi che risultano colpiti, secondo i ricercatori, può tranquillamente installare versioni successive e più sicure del sistema operativo. Anche chi ha un iPhone 8 o un iPhone X, bloccati su iOS 16, può quantomeno portare il software alla release 16.7.12 o successive. Apple ha rilasciato aggiornamenti fino alla versione 16.7.16, quindi il margine per mettersi al sicuro c’è. Basta non ignorarlo.
