Un semplice messaggio ricevuto su WhatsApp potrebbe bastare per mettere in moto una catena invisibile di compromissione digitale, senza che l’utente tocchi nulla, senza che apra nulla, senza alcun segnale evidente. È questo lo scenario, ancora in fase di analisi e discussione tra ricercatori di sicurezza, legato a un presunto attacco zero-click che avrebbe come vettore proprio la gestione automatica dei contenuti multimediali nelle chat.
Al centro dell’attenzione ci sarebbero alcune vulnerabilità identificate come CVE-2025-43300, potenzialmente in combinazione con CVE-2025-55177, che secondo le prime ricostruzioni tecniche riguarderebbero il modo in cui WhatsApp e iOS interpretano e processano automaticamente immagini ricevute in chat.
In pratica, il cuore del problema non sarebbe l’utente, ma il sistema: quella parte invisibile del software che analizza file multimediali in background per generarne anteprime, controlli e ottimizzazioni.
Il meccanismo ipotizzato è subdolo proprio per la sua semplicità apparente. Un’immagine manipolata in modo malevolo verrebbe inviata come un normale file in una conversazione. L’utente non deve aprirla, non deve scaricarla manualmente, perché il sistema operativo e l’app la analizzano automaticamente.
Ed è proprio in questo passaggio, nel processo di lettura automatica, che il file alterato potrebbe “ingannare” il parser multimediale, creando una condizione utile all’esecuzione di codice non previsto.
È qui che il concetto di zero-click diventa particolarmente inquietante: nessuna interazione, nessun errore umano, solo un’elaborazione silenziosa.
Chi segue queste analisi descrive il rischio come una forma evoluta di attacco che punta non più alla distrazione dell’utente, ma alla fiducia cieca del sistema nei dati ricevuti.
Dove accade?
Potenzialmente ovunque: su dispositivi aggiornati o meno, perché il punto critico è la gestione delle immagini all’interno delle app e delle librerie di sistema. Quando? In una fase ancora di studio e verifica, senza conferme ufficiali complete di sfruttamento su larga scala, ma sufficiente a spingere la comunità di sicurezza a raccomandare attenzione.
Il perché è legato alla crescente sofisticazione delle tecniche di exploit: oggi gli attaccanti non hanno più bisogno di convincere qualcuno a cliccare, ma cercano falle nei componenti automatici dei sistemi operativi e delle app di messaggistica. È una transizione silenziosa ma significativa nel mondo della cybersecurity, dove il bersaglio non è più il comportamento umano, ma l’automazione stessa.
Dal punto di vista pratico, WhatsApp può essere scaricato e aggiornato esclusivamente dai canali ufficiali per ridurre al minimo il rischio di versioni compromesse o obsolete. Il riferimento corretto è il sito ufficiale del servizio WhatsApp Download, oltre agli store ufficiali come App Store per iOS e Google Play per Android.
Mantenere l’app sempre aggiornata è una delle misure più importanti, perché le patch di sicurezza vengono distribuite proprio per correggere vulnerabilità di questo tipo.
Sul fronte della protezione immediata, le contromisure più efficaci non richiedono competenze avanzate ma attenzione costante. Aggiornare regolarmente WhatsApp e iOS è fondamentale, così come disattivare il download automatico dei media nelle impostazioni dell’app, riducendo l’elaborazione automatica dei file ricevuti. Anche mantenere attive le protezioni del sistema operativo, incluse le funzioni di isolamento e sandboxing, contribuisce a limitare eventuali exploit.
In questo scenario, la vera difesa resta la tempestività degli aggiornamenti e una gestione più consapevole delle impostazioni di sicurezza, perché gli attacchi zero-click non chiedono permesso: semplicemente accadono, in silenzio.
Fonti:
- WhatsApp Download ufficiale
- CERT e analisi di sicurezza su vulnerabilità zero-click in applicazioni di messaggistica
- Report tecnici su CVE-2025-43300 e CVE-2025-55177 (diverse pubblicazioni di ricerca sulla sicurezza mobile)
- Analisi di ricercatori indipendenti di sicurezza informatica e threat intelligence
