Dettagli della vulnerabilità e modalità d’attacco(www.okmugello.it) Emergenza sicurezza per gli utenti di WhatsApp e non solo: una nuova vulnerabilità, specifica per dispositivi Android, sta scatenando preoccupazione.
A rivelarla è stato il team di Google Project Zero, noto per l’individuazione di falle zero-day prima che diventino pubbliche. La falla riguarda in particolare le chat di gruppo e consente a malintenzionati di sfruttare l’inserimento in un gruppo per veicolare file multimediali dannosi, mettendo a rischio la sicurezza dei dispositivi.
La falla si manifesta quando un utente viene aggiunto a un gruppo WhatsApp contenente un file multimediale malevolo. Se l’opzione di download automatico dei media è attiva, il file viene scaricato senza alcuna interazione dell’utente, aprendo la porta a un’intrusione silenziosa. Si tratta di un attacco definito zero-click, perché l’utente non deve compiere alcuna azione per subire l’attacco; può solo assistere impotente a quanto accade sul proprio dispositivo.
L’attacco, però, non è casuale o massivo: l’aggressore deve conoscere o indovinare il numero di telefono della vittima per aggiungerla a un gruppo. Il rischio resta quindi limitato, ma non trascurabile, soprattutto in presenza di fughe di dati contenenti numeri WhatsApp. Meta ha tentato di risolvere il problema con un aggiornamento server l’11 novembre 2025, ma Google Project Zero segnala che la correzione è parziale e insufficiente. Attualmente è in fase di rilascio un aggiornamento completo, motivo per cui è fondamentale mantenere aggiornata l’applicazione.
Come proteggersi prima del patch definitivo
Prima che la correzione venga stabilmente distribuita, è possibile adottare alcune contromisure fondamentali. Innanzitutto, bisogna impedire a persone sconosciute di aggiungervi a gruppi. Questa funzione si trova nelle impostazioni di WhatsApp, alla voce Privacy > Gruppi, dove si può selezionare “I miei contatti” invece di “Tutti”.
In secondo luogo, è consigliabile disattivare il download automatico di foto, audio, video e documenti, agendo sulle impostazioni di Archiviazione e dati > Download automatico dei media. Impostando su “Mai” il download automatico, si elimina la possibilità che un file malevolo venga scaricato senza autorizzazione.
Questi accorgimenti, sebbene non risolvano la vulnerabilità di base, limitano significativamente i rischi per gli utenti.
Un problema più ampio: vulnerabilità delle segreterie telefoniche e autenticazione(www.okmugello.it)
Parallelamente a questa falla di WhatsApp, un altro allarme riguarda la sicurezza degli account di WhatsApp e Telegram, legato a una vulnerabilità nelle segreterie telefoniche di molti operatori italiani. Lo ha denunciato la società milanese InTheCyber, specializzata in sicurezza offensiva e difensiva, che ha scoperto come l’accesso indebito alle segreterie vocali possa permettere di intercettare codici di autenticazione basati su chiamate vocali.
Il problema principale nasce dal fatto che molti gestori mantengono PIN di sicurezza predefiniti e facilmente aggirabili, o addirittura non richiedono PIN in caso di chiamate “spoofate”, cioè camuffate per sembrare provenienti dal numero della vittima. Così, chiunque conosca il numero telefonico di un utente può ascoltare la segreteria, ottenere il codice di verifica e accedere alle chat private di WhatsApp o Telegram.
Questa falla interessa circa 32 milioni di SIM italiane e non richiede strumenti sofisticati, ma solo competenze tecniche minime. Nonostante la gravità, Meta ha risposto con disinteresse, mentre Telegram e gli operatori telefonici non hanno fornito risposte ufficiali.
L’importanza di una maggiore responsabilità digitale
Paolo Lezzi, CEO di InTheCyber, sottolinea che questa vulnerabilità, benché semplice da correggere con la collaborazione tra operatori e fornitori di servizi, evidenzia quanto sia ancora precaria la sicurezza dei sistemi digitali in Italia e nel mondo. L’incremento dell’Internet delle Cose e la diffusione di servizi connessi richiedono non solo una maggiore consapevolezza degli utenti ma anche regole chiare e obblighi di responsabilità per chi progetta e gestisce prodotti e servizi digitali.
Il rischio non è solo la perdita di dati o la compromissione della privacy, ma può sfociare in conseguenze molto più gravi, anche di ordine fisico o nazionale. Non a caso, le istituzioni italiane monitorano un aumento degli attacchi informatici contro infrastrutture critiche, con oltre 600 episodi registrati solo nel 2025.
La sicurezza di WhatsApp: cifratura end-to-end e limiti
WhatsApp continua a promuovere la sua cifratura end-to-end, che garantisce che i messaggi e le chiamate siano protetti da un “lucchetto” digitale, leggibile solo dai partecipanti alla conversazione. In teoria, neanche WhatsApp può accedere ai contenuti scambiati. Tuttavia, le falle recentemente emerse mostrano come la protezione possa essere aggirata da vulnerabilità tecniche o da falle nel sistema di autenticazione.
Oltre alla protezione dei messaggi individuali, WhatsApp offre funzionalità come chiamate vocali e video di gruppo, condivisione di sticker, GIF, messaggi vocali e stati, ma tutte queste caratteristiche necessitano un’attenzione particolare in termini di sicurezza, soprattutto per la gestione dei gruppi.
Lavori in corso e aggiornamenti futuri
Il team di Google Project Zero e altri esperti di sicurezza continuano a lavorare per identificare e risolvere queste falle, mentre gli sviluppatori di WhatsApp rilasciano aggiornamenti che migliorano la stabilità e la sicurezza dell’app. Il consiglio è quindi di mantenere il software sempre aggiornato e di adottare le misure di sicurezza consigliate.
La sfida della sicurezza informatica si evolve rapidamente, e proprio in questo contesto si collocano queste criticità, che riguardano non solo WhatsApp ma l’intero ecosistema digitale, dalle infrastrutture di rete ai sistemi di autenticazione. Gli utenti, le aziende e le istituzioni devono dunque collaborare per innalzare il livello di protezione e tutelare la privacy e la sicurezza nell’era della
