Spyware su iPhone: WhatsApp e bug iOS 18.6 usati per un attacco invisibile

Spyware su iPhone: WhatsApp e bug iOS 18.6 usati per un attacco invisibile

Un nuovo attacco “zero-click” ha colpito un numero ristretto di utenti iPhone tramite una catena di vulnerabilità in WhatsApp e iOS 18.6, consentendo agli aggressori di accedere ai dati personali senza alcuna interazione. Patch rilasciate da Meta e Apple

di pubblicata il , alle 07:51 nel canale Sicurezza
WhatsAppiOS
 

Una nuova campagna spyware ha recentemente colpito un ristretto numero di utenti iPhone sfruttando una sofisticata catena di vulnerabilità connessa sia a WhatsApp che a iOS 18.6. Secondo quanto ricostruito dal responsabile del Security Lab di Amnesty International, il meccanismo sfruttava un exploit “zero-click”, ossia pericolosamente efficace: la compromissione avveniva senza alcuna interazione da parte dell’utente, senza la necessità di cliccare link o aprire allegati sospetti, abbattendo i consueti sistemi di prevenzione e rendendo vana anche l’attenzione degli utenti più esperti.

Meta ha confermato il 29 agosto 2025 di aver corretto una vulnerabilità nelle sue applicazioni WhatsApp per iOS e Mac, identificata nella CVE-2025-55177. Apple aveva già diffuso il 20 agosto una patch per una vulnerabilità correlata presente su iOS e macOS (CVE-2025-43300). Gli attaccanti sono riusciti a sfruttare entrambe le falle concatenandole per ottenere l’accesso ai dispositivi Apple. In questo scenario, nemmeno chi aveva installato solo uno dei due aggiornamenti era realmente al sicuro: la porta restava aperta finché entrambe le patch non venivano applicate.

La campagna, descritta dai ricercatori di sicurezza come una tra le più avanzate finora documentate, sarebbe stata operativa per circa 90 giorni a partire dalla fine di maggio. Una volta compromessi i dispositivi, gli aggressori riuscivano ad accedere a messaggi, foto e dati personali delle vittime. Il successo dell’operazione sia stato reso possibile proprio dal perfetto allineamento delle due vulnerabilità, una all’interno di WhatsApp, l’altra nel sistema operativo Apple.

WhatsApp ha dichiarato di aver rilevato e risolto il problema alcune settimane fa, anche se non ha fornito una data precisa per la distribuzione della patch. L’azienda ha affermato che il difetto è ormai chiuso e che meno di 200 notifiche sono state inviate agli utenti colpiti, senza però attribuire formalmente l’attacco a nessuna "mano" specifica.

Le vulnerabilità zero-day e i cosiddetti zero-click rappresentano la tipologia di rischio digitale più elevato: non dipendono da errori umani, ma sfruttano buchi di sicurezza non ancora pubblicamente noti o risolti. Ne consegue che anche gli utenti più scrupolosi possono essere bersaglio di intrusioni sofisticate. L’unica reale linea di difesa contro questi attacchi rimane l’aggiornamento puntuale dei propri dispositivi. Ogni volta che una vulnerabilità viene corretta tramite patch, gli attaccanti perdono quello che era stato il loro varco d’accesso nascosto.

I migliori sconti su Amazon oggi

FRITZ!Repeater 600 Edition International, Ripetitore - Wi-Fi extender fino a 600 Mbit/s (2,4 GHz), Mesh, Access Point, Interfaccia in italiano

29.99 Compra ora

TCL 55V6C TV 55" 4K UHD Smart LED TV, 4K HDR, Google TV con design senza bordi (Dolby Audio, Motion Clarity, compatibile con Google Assistant e Alexa)

299.00 Compra ora
-30%

XIAOMI TV F 65, 65 pollici (165 cm),4K UHD,Smart TV, Fire TV,Triple Tuner DVB-C/S/S2/T/T2, HDR10,MEMC, Modalità Game Boost 120Hz, Controllo Vocale Alexa, 2GB+32GB, Compatibile con AirPlay

569.00 399.00 Compra ora
0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^