WhatsApp finisce di nuovo sotto i riflettori, stavolta per una minaccia che funziona in maniera diversa dalle truffe a cui ci siamo abituati. Niente codici da consegnare per sbaglio, nessun QR da inquadrare, nemmeno l’ombra di un malware da scaricare. Eppure è proprio questa la parte inquietante. L’attacco descritto dal tecnico informatico forense Antonio De Bortoli su Linkedin agirebbe quasi senza lasciare segni, e i danni potenziali sono pesanti. La vittima, nella maggior parte dei casi, non si accorgerebbe di nulla.
WhatsApp: come si muove questo attacco invisibile
Il primo campanello d’allarme, stando al racconto di De Bortoli, arriverebbe in modo paradossale: dal numero della vittima partono messaggi diretti ai contatti delle chat più recenti, con la richiesta di fare bonifici istantanei. Tutto qui, all’apparenza. Solo che dietro non c’è nessun dispositivo collegato visibile nelle impostazioni, nessuna traccia evidente. I criminali, in sostanza, aprirebbero una seconda sessione e da lì in poi smartphone della vittima e device dell’aggressore si scambiano di continuo il ruolo di apparecchio principale e secondario, con connessioni rapidissime che si rimbalzano avanti e indietro.
Per capirci qualcosa di più, il team di De Bortoli ha usato delle esche informatiche e ha osservato uno di questi attacchi in tempo reale. Ne è venuto fuori che i cybercriminali lavoravano con una vpn che spostava la posizione a Hong Kong, mentre i messaggi inviati ai contatti erano già pronti, confezionati e probabilmente gestiti da un bot. Nessuna improvvisazione, insomma, ma una macchina ben oliata.
Un consulente informatico forense, Paolo Dal Checco, ha provato a fare chiarezza sulla vicenda. La società Forenser, che aveva segnalato il bug per prima, ha inviato a Meta un report di responsible disclosure spiegando come avverrebbe l’infezione e il furto della sessione. Il punto chiave è che sul telefono della vittima verrebbe processata, senza alcuna interazione, un’immagine costruita ad arte che sfrutta una vulnerabilità nota di iOS, identificata da Apple come CVE-2025-43300 e corretta a partire dalla versione 16.7.12 del sistema operativo. È questo che rende l’attacco un cosiddetto zero click.
Tramite quell’exploit, l’aggressore riuscirebbe a estrarre dalla memoria del telefono il materiale crittografico con cui WhatsApp autentica le sue sessioni sui server di Meta. Con quel materiale può collegarsi da un dispositivo qualsiasi, anche dall’altra parte del mondo, non come nuovo apparecchio collegato ma fingendo di essere il telefono legittimo. Per il server è semplicemente lo stesso utente che riaggancia la propria sessione, un po’ come quando si passa dal WiFi alla rete LTE uscendo di casa. Cambia l’indirizzo IP, ma per Meta è tutto regolare. Ecco perché nelle impostazioni non spunta nessun dispositivo collegato: non c’è stato un vero pairing.
Cosa fare per proteggersi
Da quel momento, telefono della vittima e client dell’attaccante si contendono la stessa sessione, riautenticandosi in continuazione. È proprio quel ciclo, visibile nei log diagnostici del dispositivo, il segnale più evidente della compromissione in corso. Il team Forenser, oltre ad analizzare vari dispositivi colpiti, ha riprodotto la catena di exploit in laboratorio su un apparecchio di test, prima di inviare la segnalazione a Meta.
C’è però un’altra voce in questa storia. Interpellata sulla vicenda, Meta ha respinto le accuse. Un portavoce di WhatsApp ha parlato di affermazioni infondate, senza alcuna evidenza tecnica, sottolineando che gli stessi ricercatori chiariscono di non aver trovato alcun vettore di infezione e che non ci sarebbe prova di un attacco realmente avvenuto.
Resta il fatto che alcuni dispositivi colpiti avevano persino attivato l’autenticazione a doppio fattore. Le vittime non avrebbero scaricato malware, non avrebbero passato codici di recupero né scansionato QR. L’elemento ricorrente sarebbe l’uso di un iPhone, e nello specifico del sistema operativo nella versione iOS 16. Il consiglio, quindi, è semplice e vale sempre. Bisogna aggiornare tempestivamente sia il sistema operativo dello smartphone sia le app, e non accettare mai richieste strane, nemmeno quando arrivano da contatti con cui si parla spesso.