L’attacco silenzioso a WhatsApp su iPhone: così i criminali prendono il controllo dell’account senza un clic

Articolo Precedente

precedente
Articolo Successivo

successivo

Redazione Scienza e Tecnologia Redazione Scienza e Tecnologia   -   Un weekend tranquillo, di fine maggio, e il telefono sul comodino inizia a vibrare in modo insistente. Non sono notifiche di chat ricevute, come ci si aspetterebbe, ma messaggi di risposta inviati da amici e parenti che chiedono, con crescente preoccupazione: “Perché mi stai chiedendo soldi?” o “A cosa serve questo bonifico urgente?”.

Il paradosso, per la vittima che osserva lo schermo del proprio iPhone, è che nessuna traccia di quelle richieste compare nella conversazione locale: l’account WhatsApp, di fatto, sta agendo da solo. cybersecurity360 +2

È l’incubo silenzioso della sicurezza informatica, un attacco che non richiede alcuna interazione da parte dell’utente (il cosiddetto zero-click) e che, secondo le indagini condotte dai ricercatori italiani di Forenser, sta colpendo in particolare i possessori di un modello fermo a iOS 16. dday +2

La “doppia spunta” che tradisce la competizione fantasma

Ciò che rende questa minaccia particolarmente insidiosa, rispetto ai più comuni tentativi di ghost pairing dove la vittima viene ingannata per farle scansionare un QR code, è proprio l’assenza totale di avvisi: nella sezione “Dispositivi collegati” delle impostazioni WhatsApp, il display mostra una rassicurante assenza di intrusioni.

Eppure, qualcuno sta utilizzando il nostro numero per scrivere. dday +2

L’indizio più evidente – spiegano i tecnici di Forenser – va cercato nella lentezza dell’app o nella strana “competizione” che si legge nei log di sistema, dove eventi di “resync” (risincronizzazione) continui indicano che due endpoint stanno lottando per mantenere attiva la stessa sessione.

Si tratta, in sostanza, di una lotta invisibile tra il legittimo proprietario e l’intruso, che si contendono il controllo dell’account senza che nessuno dei due possa espellere definitivamente l’altro, almeno finché la falla di sicurezza rimane aperta. cybersecurity360 +2

Una catena di vulnerabilità già nota, ma ancora aperta

A differenza di quanto si potrebbe pensare, i criminali informatici non hanno bisogno di sviluppare un malware sofisticato da zero. Stanno piuttosto sfruttando una combinazione (definita tecnicamente exploitation chain) di due vulnerabilità risalenti al 2025, le cui sigle sono CVE-2025-43300 e CVE.

La prima risiede in ImageIO, il motore di iOS che processa le immagini; basta una foto o un’immagine costruita ad arte ricevuta via chat per innescare una corruzione della memoria nel processo, senza che l’utente debba nemmeno aprirla. libero +2

La seconda falla, invece, riguarda la gestione della sincronizzazione dei dispositivi di WhatsApp, permettendo di estrarre il materiale crittografico necessario per autenticarsi ai server di Meta. È un meccanismo che ricorda da vicino spyware governativi del passato come Pegasus, ma che qui viene piegato a fini ben più terra terra: la richiesta di un bonifico a un familiare. cybersecurity360 +2

I modelli a rischio e i segnali da non ignorare

Nei casi analizzati finora, il denominatore comune è rappresentato da dispositivi che vanno dall’iPhone 8 fino alla serie 14 – escludendo quindi i modelli più recenti come iPhone 15 e 16 – tutti fermamente ancorati a versioni di iOS 16 antecedenti alla patch 16.7.12.

Chi utilizza iOS 17 o versioni successive sembra essere immune da questa specifica catena di attacchi, sebbene non si possa escludere che altre vulnerabilità possano emergere in futuro. libero +2

I ricercatori sottolineano come, oltre alla lentezza anomala dell’applicazione e ai cali di connessione, un altro segnale rivelatore possa essere proprio la ricezione di richieste di denaro da parte di contatti che giurano di aver ricevuto un messaggio da noi, mentre nelle nostre chat quel messaggio non esiste.

La raccomandazione, per chi si trovasse in questa scomoda posizione, è di aggiornare immediatamente il sistema operativo all’ultima versione disponibile, una mossa che di fatto interrompe le condizioni di sfruttamento della falla. dday +2

In attesa che le indagini della società Forenser continuino a fare luce sull’esatta dinamica tecnica dello sfruttamento – e mentre gli attaccanti continuano a muoversi nell’ombra sfruttando la fiducia delle nostre rubriche – la lezione da imparare è quella, antica ma sempre attuale, della cura maniacale degli aggiornamenti software.

Perché se è vero che per essere infettati non serve cliccare su nessun link, è altrettanto vero che aggiornare il telefono rimane l’unico modo per chiudere la porta in faccia al ladro. dday +2

Puoi condividere questo articolo o riprenderne i contenuti, anche parzialmente, citando la fonte con link attivo a informazione.news, il portale online di notizie e approfondimenti.
Facebook Pinterest Linkedin Tumblr