Un attacco senza precedenti ha recentemente colpito un gruppo ristretto ma selezionato di utenti iPhone, mettendo in crisi ogni strategia tradizionale di difesa digitale. Gli aggressori hanno sfruttato una “catena di vulnerabilità” – una in WhatsApp, l’altra direttamente nel sistema operativo iOS 18.6 – mettendo in atto una delle azioni spyware più sofisticate mai documentate. A differenza delle tecniche comuni, questa operazione non richiedeva alcun intervento dall’utente: nessun clic, nessun link sospetto, nessun allegato da aprire. Bastava ricevere un messaggio malevolo perché l’attacco si compisse all’istante e silenziosamente.

I dettagli tecnici: due vulnerabilità concatenate

La vulnerabilità di WhatsApp, catalogata come CVE-2025-55177, colpiva versioni dell’app precedenti alla 2.25.21.73 per iOS e 2.25.21.78 per la Business e la versione Mac. Il difetto permetteva, tramite messaggi di sincronizzazione gestiti in modo inadeguato, di eseguire contenuti remoti sul device della vittima. Apple, parallelamente, ha dovuto gestire la CVE-2025-43300, un buco nel framework ImageIO capace di corrompere la memoria tramite immagini appositamente modificate, aprendo la porta all’esecuzione di codice dannoso.

Gli aggressori sono riusciti a concatenare queste due falle, ottenendo il controllo completo dei dispositivi target senza lasciare tracce visibili né sollecitare l’azione degli utenti. È importante sottolineare che l’installazione di una sola patch non era sufficiente a bloccare l’attacco: restava vulnerabile chi aggiornava solo WhatsApp o solo iOS, finché entrambi gli aggiornamenti non venivano applicati.

Secondo Amnesty International, la campagna evidenziata è rimasta attiva per circa 90 giorni a partire dalla fine di maggio, puntando giornalisti, difensori dei diritti e profili politicamente sensibili. Meta, proprietaria di WhatsApp, ha inviato circa 200 avvisi specifici agli utenti ritenuti a rischio, senza però attribuire formalmente la responsabilità a un attore preciso e senza rivelare quale spyware commerciale sia stato usato. L’episodio conferma un trend già visto negli ultimi anni e di cui abbiamo parlato su TuttoTech: le minacce spyware di tipo zero-day e zero-click vengono ormai impiegate per scopi di sorveglianza contro figure di rilievo e difficilmente individuate dagli strumenti comuni.

Segui APPLE Italia su Telegram, ricevi news e offerte per primo

Perché gli attacchi zero-click sono così temibili

Gli exploit zero-day sono vulnerabilità non note pubblicamente, che si trasformano in arma ancora più letale se la modalità è “zero-click”: in questo scenario, la vittima non può in alcun modo bloccare l’aggressione con il proprio comportamento o con la prudenza, perché ogni automatismo di prevenzione “salta” a prescindere. Negli ultimi anni, proprio le piattaforme di messaggistica e iOS sono diventate bersagli privilegiati di queste campagne altamente sofisticate, spingendo più volte sia Apple che Meta a interventi straordinari, come già documentato nei nostri precedenti approfondimenti ed evidenziato dagli avvertimenti diffusi dalla stessa Apple in oltre 100 Paesi all’inizio del 2025.

Soluzioni: aggiornare subito per bloccare l’attacco

L’unica vera difesa efficace contro minacce di questo tipo è la tempestiva applicazione delle patch di sicurezza appena disponibili. Le vulnerabilità sono ormai state corrette: Apple ha rilasciato la patch per iOS il 20 agosto 2025, seguita dall’aggiornamento critico di WhatsApp distribuito a fine luglio e inizio agosto per tutte le versioni interessate. Solo chi aggiorna subito sia l’app che il sistema operativo mette realmente al sicuro dati personali, foto, messaggi e file sensibili.

Gli utenti che temono di essere stati esposti dovrebbero valutare, secondo quanto indicato dagli esperti, anche un reset completo del dispositivo dopo il patching, per azzerare eventuali residui dell’attacco.

I nostri contenuti da non perdere: