Attacco zero-click su WhatsApp, iPhone con iOS 16 nel mirino: l’account viene clonato senza lasciare tracce

Attacco zero-click su WhatsApp, iPhone con iOS 16 nel mirino: l’account viene clonato senza lasciare tracce
Articolo Precedente

precedente
Articolo Successivo

successivo

Redazione Scienza e Tecnologia Redazione Scienza e Tecnologia   -   Un improvviso fiotto di richieste di denaro – bonifici urgenti destinati a contatti selezionati – ha iniziato a diffondersi nei giorni scorsi attraverso profili WhatsApp di ignari possessori di iPhone, i quali, controllando l’applicazione, non trovavano nulla: nessun messaggio inviato, nessun dispositivo sconosciuto nella sezione "Dispositivi collegati".

A segnalare la falla, come riportato da Fanpage, sono stati i ricercatori di Forenser.

It, un’azienda italiana specializzata in investigazioni digitali che ha ricevuto decine di segnalazioni in poche ore, tutte accomunate da uno stesso, inquietante denominatore tecnico.

La vittima tipo racconta di un weekend tranquillo, improvvisamente interrotto da domande allarmate dei propri amici: "Perché devo darti dei soldi?" oppure "A cosa ti serve il bonifico?", domande che rimandavano a messaggi mai scritti dal legittimo proprietario del telefono.

La catena di vulnerabilità

Il cuore della minaccia risiede in una combinazione letale di due falle note nella sicurezza: la CVE-2025-43300, relativa al framework ImageIO di Apple, e la CVE-2025-55177, specifica di WhatsApp per iOS.

La prima, che riguarda la gestione delle immagini da parte del sistema operativo, può essere innescata senza alcun clic da parte dell’utente – un classico attacco "zero-click" – semplicemente ricevendo un file multimediale malevolo.

Una volta che il parser di iOS elabora quell’immagine, l’attaccante riesce a corrompere la memoria del processo WhatsApp, estraendo le chiavi crittografiche necessarie per autenticarsi come se fosse il dispositivo della vittima.

Sfruttando la seconda vulnerabilità, che riguarda i messaggi di sincronizzazione non autorizzati, il malintenzionato riesce a far scaricare al telefono bersaglio il payload senza che l’utente veda alcuna notifica, rendendo l’intera operazione invisibile anche agli occhi più attenti.

La competizione fantasma e l’assenza di tracce

Ciò che rende particolarmente insidiosa questa campagna – a differenza del classico "ghost pairing" in cui la vittima viene indotta a scansionare un QR code – è l’assenza totale di segni evidenti di compromissione nell’interfaccia standard di WhatsApp.

L’attaccante non collega un nuovo dispositivo all’account, ma si impadronisce della sessione attiva, creando una sorta di "competizione" silenziosa tra il telefono legittimo e il client malevolo.

Analizzando i log diagnostici dei dispositivi compromessi, i ricercatori di Forenser hanno osservato una sequenza anomala di eventi di "resync": due endpoint che lottano per mantenere attiva la propria connessione ai server di Meta, un rimbalzo continuo che spiega perché la lista dei dispositivi collegati appaia pulita.

Inoltre, gli aggressori sembrano avere accesso selettivo solo alle chat più recenti – quelle con cui la vittima ha interagito da poco – una limitazione che, se da un lato riduce il danno potenziale, dall’altro conferisce alla truffa un’apparenza di autenticità maggiore, spiazzando i contatti che ricevono la richiesta di denaro.

Il profilo delle vittime e le implicazioni giudiziarie

Nel delineare il quadro della compromissione, emerge chiaramente che i bersagli non sono casuali, ma limitati a una fascia ben precisa di utenti: tutti i dispositivi analizzati dai tecnici italiani appartengono a modelli che vanno dall’iPhone 8 alla serie 14, inclusi XR, XS, 11, SE, 12 e 13, e sono bloccati a versioni di iOS 16 precedenti alla patch 16.7.12.

Nessun caso è stato rilevato su iOS 17 o 18, segno che le correzioni di sicurezza rilasciate da Apple nell’agosto del 2025 – quando queste vulnerabilità erano ancora "zero-day" sfruttate per spionaggio mirato – sono effettivamente efficaci, ma solo se installate.

Dal punto di vista delle indagini giudiziarie, la difficoltà maggiore per i periti informatici risiede proprio nella volatilità delle prove: poiché l’attaccante non lascia un dispositivo collegato persistente, ma agisce in concorrenza di sessione, le tracce sono esclusivamente nei log di sistema e richiedono un’acquisizione forense completa del file system (FFS) per essere isolate.

Le contromisure operative immediate

In assenza di una soluzione automatica da remoto – data la natura "zero-click" della minaccia – le indicazioni per gli utenti e i primi soccorritori digitali si concentrano su azioni drastiche ma mirate.

La raccomandazione principale, ribadita dai ricercatori di Forenser, è l’aggiornamento immediato del sistema operativo all’ultima versione disponibile, che per i dispositivi compatibili con iOS 16 significa portarsi almeno alla release 16.7.12, laddove Apple ha chiuso la falla su ImageIO.

Per chi sospetta una compromissione già in atto, una misura tampone efficace – benché non risolutiva della causa principale – consiste nell’utilizzo della funzione "Blocco chat" (protetta da codice o biometria) per le conversazioni sensibili: questa barriera impedisce all’attaccante di leggere i messaggi in quelle chat o di scrivere ai relativi contatti.

Infine, reinstallare l’applicazione WhatsApp o effettuare una nuova autenticazione su un dispositivo pulito sembra interrompere la "lotta per la sessione", cacciando l’intruso dal loop di sincronizzazione.

Puoi condividere questo articolo o riprenderne i contenuti, anche parzialmente, citando la fonte con link attivo a informazione.news, il portale online di notizie e approfondimenti.
Facebook Pinterest Linkedin Tumblr