WhatsApp ha corretto il bug di sicurezza noto come “zero-click”, riscontrato su Apple. Gli utenti saranno ora più tutelati.
Più sicurezza in Apple
WhatsApp ha corretto il bug di sicurezza “zero-click”, riscontrato sulle app iOS e Mac della Apple. Gli utenti saranno ora più tutelati. Sfruttando questa vulnerabilità, gli hacker criminali riuscivano infatti a violare i dispositivi appartenenti ad alcuni “utenti specifici”.
La piattaforma di messaggistica, proprietà di Meta, ha dichiarato nel suo avviso di sicurezza di aver risolto la vulnerabilità, nota ufficialmente come CVE-2025-55177. Contestualmente, Apple ha risolto il difetto CVE-2025-43300, sfruttato in combinato disposto col bug per violare i dispositivi.
Sarebbero state decine, almeno secondo TechCrunch, gli utenti WhatsApp che sono entrati nel mirino dei criminali, in virtù di questa coppia di falle.
Il fulcro di una “campagna spyware avanzata”
Donncha Ó Cearbhaill, responsabile del Security Lab di Amnesty International, ha descritto questa serie di attacchi in un post su X come una “campagna spyware avanzata“. Particolarmente attiva dallo scorso maggio, lo stesso Ó Cearbhaill ha descritto la coppia di bug, descrivendo le modalità di un attacco “zero-click”.
Nel dettaglio, si tratta di una campagna malevola che non richiede alcuna interazione da parte della vittima, come cliccare su un link, per compromettere il suo dispositivo. I due bug concatenati consentono a un aggressore di inviare un exploit dannoso tramite WhatsApp, in grado di rubare dati dal dispositivo Apple dell’utente.
L’ordine delle difficoltà
Contattata da TechCrunch, Margarita Franklin, la portavoce di Meta, ha confermato che l’azienda ha rilevato e corretto la falla “alcune settimane fa”. Inoltre, ha inviato “meno di 200” notifiche agli utenti WhatsApp interessati. La società di messaggistica, tuttavia, ha dovuto fare i conti con il moltiplicarsi di situazioni complesse.
A maggio, un tribunale statunitense ha condannato il produttore di spyware NSO Group a pagare a WhatsApp 167 milioni di dollari di risarcimento danni per una campagna di hacking del 2019. In quel caso c’era stata la violazione dei dispositivi di oltre 1.400 utenti WhatsApp.
La piattaforma aveva intentato una causa legale contro NSO, citando una violazione delle leggi federali e statali sull’hacking, nonché dei propri termini di servizio.
All’inizio di quest’anno, inoltre, WhatsApp ha interrotto una campagna di spyware che ha preso di mira circa 90 utenti, tra cui giornalisti e membri della società civile in tutta Italia. Il Governo italiano ha negato il proprio coinvolgimento nella campagna di spionaggio.
Paragon, il cui spyware è stato utilizzato nella campagna, ha successivamente escluso l’Italia dai propri strumenti di hacking per non aver indagato sull’abuso.
