WhatsApp ha recentemente risolto una vulnerabilità di sicurezza critica che interessava le sue applicazioni di messaggistica per dispositivi Apple iOS e macOS. Il problema, identificato come CVE-2025-55177, riguarda una gestione insufficiente dell'autorizzazione nei messaggi di sincronizzazione dei dispositivi collegati. Questa falla avrebbe potuto consentire a un utente non autorizzato di avviare il processo di contenuti provenienti da un URL arbitrario direttamente sul dispositivo della vittima.

Scoperta e sfruttamento delle vulnerabilità

La vulnerabilità è stata scoperta internamente dal team di sicurezza di WhatsApp e si ritiene che sia stata sfruttata attivamente in combinazione con una seconda falla, CVE-2025-43300, che colpisce i sistemi iOS, iPadOS e macOS. Quest'ultima è una vulnerabilità di tipo out-of-bounds write nel framework ImageIO di Apple e permette la corruzione della memoria attraverso immagini appositamente create, con il potenziale di consentire esecuzione di codice malevolo senza interazione dell’utente.

Versioni affette e patch rilasciate

Le versioni affette includono WhatsApp per iOS precedenti alla 2.25.21.73, WhatsApp Business per iOS 2.25.21.78 e WhatsApp per Mac 2.25.21.78. Le patch sono state rilasciate tra la fine di luglio e i primi giorni di agosto 2025, con la raccomandazione per tutti gli utenti di aggiornare tempestivamente le loro applicazioni e sistemi operativi per garantire la massima protezione.

Campagna di spyware mirato

WhatsApp ha allertato meno di 200 utenti potenzialmente coinvolti in una campagna di spyware mirato negli ultimi 90 giorni. In questi casi è stato suggerito di effettuare un ripristino completo del dispositivo e mantenere sia il sistema operativo che l’app sempre aggiornati. Al momento non è stato ancora identificato il gruppo o il vendor di spyware responsabile degli attacchi.

Attacco zero-click e rischi associati

Secondo Amnesty International, la combinazione delle due vulnerabilità rappresenta un cosiddetto attacco zero-click, cioè un attacco che non richiede alcuna azione da parte dell’utente per compromettere il dispositivo. Questa tipologia di minaccia è particolarmente insidiosa perché può colpire in modo silenzioso e invisibile, prendendo di mira anche giornalisti, attivisti e difensori dei diritti umani.

L’episodio sottolinea ancora una volta quanto sia fondamentale eseguire regolarmente gli aggiornamenti di sicurezza sia delle app che dei sistemi operativi, soprattutto su dispositivi particolarmente esposti come smartphone e computer personali. La tempestiva adozione delle patch rappresenta la migliore difesa contro lo sfruttamento di vulnerabilità zero-day da parte di spyware evoluti.