WhatsApp compromesso su iPhone: l'attacco zero-click che ha colpito iOS
Come funziona, chi è stato colpito, cosa fare adesso e come proteggere il tuo account e quello della tua azienda.
Eppure il dispositivo è stato compromesso. Questo è l'attacco zero-click che ha colpito WhatsApp su iPhone e Mac: silenzioso, invisibile, e ora tecnicamente documentato da Meta, Apple e Amnesty International. Se usi WhatsApp per lavoro e non hai ancora aggiornato iOS, fermati e leggi questo articolo.
01 Cosa è successo davvero: le vulnerabilità ufficialmente confermate
A differenza di quanto circolato nelle prime segnalazioni, non si tratta di un'ipotesi. Le vulnerabilità alla base dell'attacco sono state ufficialmente identificate, catalogate e successivamente patchate da Meta e Apple.
WhatsApp ha chiuso una grave falla classificata come CVE-2025-55177, riscontrata nelle versioni per iPhone e Mac. Questa vulnerabilità poteva essere combinata con un secondo difetto nei sistemi Apple, identificato come CVE-2025-43300: la catena delle due falle abilitava un attacco di tipo zero-click, in cui la vittima non deve compiere alcuna azione per essere compromessa.
Il vettore tecnico concreto erano immagini manipolate: la vulnerabilità scattava nel momento in cui WhatsApp processava l'immagine ricevuta in background. Nello specifico, CVE-2025-55177 sfruttava un problema di autorizzazione incompleta nei messaggi di sincronizzazione dei dispositivi collegati, che permetteva a un attore esterno di forzare l'elaborazione di contenuti da URL arbitrari sul dispositivo bersaglio.
| CVE | Componente | Descrizione tecnica |
|---|---|---|
| CVE-2025-55177 | WhatsApp iOS / Mac | Autorizzazione incompleta dei messaggi di sincronizzazione — permette elaborazione di contenuti da URL arbitrari |
| CVE-2025-43300 | Apple ImageIO (iOS / iPadOS / macOS) | Scrittura fuori dai limiti nel framework imaging — elaborazione di immagini malevole causa corruzione della memoria |
02 Chi è stato colpito e per quanto tempo
I numeri reali ridimensionano l'allarme di massa, ma non eliminano il rischio — soprattutto per chi gestisce dati sensibili o ha un profilo di esposizione elevato.
Donncha Ó Cearbhaill, responsabile del Security Lab di Amnesty International, ha definito la serie di attacchi una "campagna spyware avanzata". I profili colpiti includono principalmente giornalisti, difensori dei diritti umani e figure della società civile. In Italia, già all'inizio del 2024, circa 90 utenti — tra cui giornalisti di testate nazionali — erano stati colpiti da strumenti analoghi riconducibili al gruppo Paragon.
Un exploit documentato può essere replicato, adattato o venduto su mercati secondari. Per un'azienda, uno studio professionale o un libero professionista, l'esposizione è concreta.
03 Perché è particolarmente insidioso per aziende e professionisti
WhatsApp ha inviato agli utenti compromessi una notifica in-app con un messaggio inequivocabile: l'attacco aveva "compromesso il dispositivo e i dati in esso contenuti, inclusi i messaggi".
Per chi usa WhatsApp in contesti professionali — comunicazioni con clienti, accordi riservati, dati economici — questo si traduce in un accesso potenzialmente completo a quelle conversazioni. La caratteristica che rende questo attacco diverso dai classici casi di social engineering è che non lascia tracce visibili nella sezione "Dispositivi collegati" e non richiede nessuna distrazione da parte della vittima.
La compromissione di un account aziendale può esporre conversazioni con clienti, dati finanziari e accordi riservati. Se hai bisogno di una verifica del tuo ecosistema digitale o di una perizia forense su un dispositivo sospetto, il team di peritidigitali.it è specializzato in consulenze e perizie digitali per privati e imprese — con base operativa in Emilia-Romagna e attività su tutto il territorio nazionale.
04 Le versioni interessate e le patch disponibili
Aggiornare è l'unica contromisura definitiva. Servono entrambi gli aggiornamenti: WhatsApp e iOS. Uno solo non basta.
| App / Sistema | Versione vulnerabile | Versione sicura |
|---|---|---|
| WhatsApp per iOS | precedenti a 2.25.21.73 | 2.25.21.73 o superiore |
| WhatsApp Business per iOS | precedenti a 2.25.21.78 | 2.25.21.78 o superiore |
| WhatsApp per macOS | precedenti a 2.25.21.78 | 2.25.21.78 o superiore |
| iOS / iPadOS (recenti) | precedenti a iOS 18.6.2 | iOS 18.6.2 (rilasciato 20 ago 2025) |
| iOS / iPadOS (modelli vecchi) | precedenti a iPadOS 17.7.10 | iPadOS 17.7.10 |
| macOS | precedenti a Sequoia 15.6.1 | macOS Sequoia 15.6.1 |
05 Come riconoscere un possibile account compromesso
Nessuno di questi segnali costituisce una conferma tecnica, ma la loro presenza combinata merita attenzione immediata.
- Messaggi inviati a tua insaputa: contatti che riferiscono di aver ricevuto richieste di bonifici o urgenze economiche dal tuo numero.
- Chat lette senza utilizzo diretto: conversazioni già viste che non hai aperto tu.
- WhatsApp attivo in background: l'app risulta in esecuzione anche quando non la usi.
- Comportamenti anomali del dispositivo: instabilità improvvisa, surriscaldamento, consumo insolito della batteria.
- Nessun dispositivo collegato visibile: nella sezione "Linked Devices" non compaiono sessioni sospette — è una caratteristica specifica di questo attacco.
- Notifica diretta da Meta: il segnale più inequivocabile. Meta ha contattato direttamente in-app gli utenti potenzialmente coinvolti.
06 Cosa fare adesso: le azioni in ordine di priorità
- Aggiorna iOS immediatamente: Impostazioni > Generali > Aggiornamento Software. Installa iOS 18.6.2 o superiore. Chiude CVE-2025-43300 lato sistema operativo.
- Aggiorna WhatsApp: App Store > cerca WhatsApp > installa l'ultima versione. Servono entrambi gli aggiornamenti.
- Attiva la verifica in due passaggi: Impostazioni WhatsApp > Account > Verifica in due passaggi. Aggiunge un livello di protezione aggiuntivo.
- Blocca le chat sensibili con Face ID: WhatsApp permette di bloccare singole conversazioni con autenticazione biometrica.
- Verifica gli accessi all'Apple ID: Impostazioni > [tuo nome] > scorri per vedere i dispositivi. Rimuovi quelli che non riconosci.
- Abilita il Lockdown Mode: per profili ad alto rischio (manager, giornalisti, professionisti con dati sensibili) — Impostazioni > Privacy e Sicurezza > Lockdown Mode.
- Avvisa telefonicamente i tuoi contatti: se dal tuo numero sono stati inviati messaggi sospetti, una chiamata diretta è l'unico canale affidabile.
- Valuta il reset del dispositivo: nei casi sospetti più gravi Meta stessa ha raccomandato il ripristino completo del dispositivo per eliminare potenziali componenti malware persistenti.
07 FAQ — Domande frequenti
Risposte alle domande più cercate su Google, People Also Ask e AI Overview.
CVE-2025-55177, classificata come zero-click: permetteva l'esecuzione di codice malevolo su iPhone e Mac senza alcuna azione da parte dell'utente. Non serviva aprire link, inquadrare QR code o condividere codici. La falla è stata chiusa con gli aggiornamenti di agosto-settembre 2025.iOS 18.6.2 (dispositivi recenti) e iPadOS 17.7.10 (modelli più vecchi). Apple ha rilasciato la patch di emergenza il 20 agosto 2025 per chiudere la falla CVE-2025-43300 nel framework ImageIO.CVE-2025-55177) e una in iOS/macOS (CVE-2025-43300). Servono entrambi gli aggiornamenti: WhatsApp all'ultima versione disponibile e iOS 18.6.2 o superiore. Uno solo non basta.CVE-2025-55177 + CVE-2025-43300 riguardava specificamente iOS e macOS. Sono tuttavia disponibili aggiornamenti di sicurezza per WhatsApp anche su Android (versioni 13-16), che è consigliabile installare comunque.08 Approfondimenti e risorse utili
Link interni correlati
Fonti ufficiali
Continuiamo a monitorare l'evoluzione di questo caso e aggiorneremo l'articolo se emergeranno nuove evidenze tecniche o comunicazioni ufficiali da Apple, Meta, CISA o Amnesty International Security Lab. Per qualsiasi necessità di verifica forense o consulenza sulla sicurezza digitale della tua azienda, il team di peritidigitali.it è a disposizione.