Un attacco silenzioso e pericoloso ha preso di mira utenti iOS e macOS: basta ricevere un messaggio per essere spiati.
ROMA, settembre 2025 – La sicurezza digitale di WhatsApp è stata nuovamente compromessa da un attacco senza precedenti. In queste ore, Meta ha avvisato centinaia di utenti in tutto il mondo che potrebbero essere stati presi di mira da uno spyware avanzato capace di infettare i dispositivi senza alcuna azione da parte della vittima. È sufficiente ricevere un messaggio – non serve aprirlo o cliccare – per vedere violata la propria privacy.
Si tratta di un exploit “zero-click”, cioè una tecnica che non richiede alcuna interazione dell’utente per essere efficace. La vulnerabilità sfruttata ha colpito il sistema di sincronizzazione dei dispositivi collegati a WhatsApp su iOS e macOS, permettendo agli hacker di prendere il controllo da remoto di smartphone e computer. Non solo accesso ai dati: il malware ha anche attivato microfono e videocamera dei dispositivi colpiti.
Meta ha già rilasciato una patch, ma il danno resta, e le raccomandazioni agli utenti sono tutt’altro che banali: ripristino completo del dispositivo alle impostazioni di fabbrica, aggiornamento immediato di sistema operativo e app, e massima attenzione ai comportamenti anomali del device.
Come funziona l’exploit: l’attacco che buca anche i sistemi Apple
Secondo quanto emerso dalle indagini del Security Lab di Amnesty International, poi confermate dai tecnici di Meta, il punto debole sarebbe stato CVE-2025-55177, una falla all’interno della funzione che gestisce la visualizzazione dei messaggi da dispositivi collegati. Questo avrebbe consentito agli aggressori di inoltrare contenuti da URL dannosi, direttamente sui device delle vittime.
Ma non è finita qui: l’exploit ha funzionato perché è stato abbinato a un’altra falla, CVE-2025-43300, presente nel sistema operativo Apple. Questa combinazione ha reso l’attacco altamente sofisticato, tale da superare le barriere di sicurezza di iOS e macOS, che in genere sono considerate tra le più avanzate nel panorama tecnologico.
Un’operazione chirurgica, che ha ricordato ai ricercatori alcune delle campagne di sorveglianza informatica più aggressive degli ultimi anni. Se in passato strumenti simili erano riservati a governi autoritari, per colpire giornalisti, attivisti o oppositori politici, questa volta le vittime sembrano essere state utenti comuni, scelti in modo più ampio e potenzialmente casuale.
Il codice malevolo avrebbe operato in background, garantendo agli attaccanti l’accesso a foto, messaggi, chiamate, geolocalizzazione e perfino alla telecamera, trasformando i dispositivi in strumenti di spionaggio personale.
Il commento degli esperti e le contromisure da adottare subito
La gravità dell’episodio è stata sottolineata anche da Pierluigi Paganini, esperto di cybersecurity, che ha definito l’attacco “estremamente pericoloso”, capace di minare la fiducia nelle piattaforme di messaggistica più utilizzate al mondo: «La capacità di agire senza interazione dell’utente dimostra che la superficie d’attacco è ancora troppo ampia. Anche se Meta ha reagito rapidamente, resta un rischio residuo concreto».
La risposta di WhatsApp non si è fatta attendere. Il team di sicurezza ha inviato una notifica diretta agli utenti potenzialmente colpiti, con l’invito a:
eseguire un ripristino completo del dispositivo;
mantenere WhatsApp aggiornato;
installare l’ultima versione del sistema operativo;
evitare l’uso di app non ufficiali o modificate.
Secondo fonti vicine a Meta, l’attacco sarebbe stato intercettato in tempo per evitare una diffusione su larga scala, ma resta il sospetto che versioni modificate di WhatsApp o sistemi di backup su cloud possano essere ancora vulnerabili a tecniche simili.
Questo nuovo exploit conferma una tendenza inquietante: la corsa tra difensori e attaccanti è sempre più serrata. Gli attacchi “zero-click”, una volta rari, stanno diventando più frequenti e silenziosi, e le aziende tech sembrano sempre più in difficoltà nel contenerli prima che sia troppo tardi.
La sorveglianza invisibile, un tempo materia da spy movie, oggi riguarda anche le persone comuni. Il caso WhatsApp del 2025 segna un punto di svolta, perché dimostra che nessun sistema è inviolabile, e che anche le grandi piattaforme devono alzare il livello di trasparenza e prevenzione.
Chi usa lo smartphone come archivio della propria vita, dai messaggi personali alle credenziali bancarie, dovrà prendere coscienza di un dato: la sicurezza perfetta non esiste. Ma informarsi, aggiornarsi e pretendere maggiore protezione da parte dei colossi digitali è un passo necessario per ridurre i danni.