Una vulnerabilità grave su WhatsApp ha permesso attacchi senza clic: ecco cosa è successo davvero.
Per mesi una falla nascosta ha reso WhatsApp un varco aperto. Un punto cieco nei sistemi di sicurezza dell’app più usata al mondo, capace di mettere a rischio milioni di utenti senza che nessuno toccasse nulla. A sollevare l’allarme, a settembre 2025, è stato Project Zero, il team di ricerca di Google dedicato alle minacce informatiche più sofisticate. L’anomalia era tanto tecnica quanto concreta: permetteva attacchi “zero-click”, ossia intrusioni silenziose attivate senza alcuna azione da parte del bersaglio. Bastava essere aggiunti a un gruppo o ricevere un file modificato con precisione chirurgica.
Meta ha avuto 90 giorni per correggere il problema. Ma non è bastato. Il primo aggiornamento è arrivato in ritardo, e non ha risolto tutto. Il resto è storia: pubblicazione della vulnerabilità, scandalo mediatico, corsa ai ripari. Ma il tempo ha lasciato tracce.
Come funzionava l’attacco (e perché era così pericoloso)
La tecnica sfruttata per violare WhatsApp si basa su un meccanismo tanto semplice quanto subdolo. Il cuore del problema era il modo in cui l’app gestiva i file multimediali ricevuti. Bastava che un utente venisse aggiunto con la forza a un gruppo — senza nemmeno accettare — e ricevesse un video, un’immagine o un audio realizzato con codice manipolato. In quel preciso istante, l’app apriva una breccia nel sistema, permettendo al codice esterno di agire all’interno del dispositivo, senza autorizzazioni né notifiche.
Come funzionava l’attacco (e perché era così pericoloso) – computercityhw.it
Non c’era alcun link da cliccare, nessun avviso sospetto, nessuna schermata anomala. Gli attacchi potevano avvenire mentre lo smartphone era fermo sul tavolo, senza che l’utente se ne accorgesse. Il nome tecnico è zero-click exploit, una delle categorie più temute nella sicurezza informatica perché elimina il “fattore umano”, rendendo inutile ogni precauzione basata sulla prudenza.
Questo tipo di falle ha un impatto profondo perché colpisce il cuore della fiducia digitale. Se un’applicazione non è in grado di difendere le sue funzioni più semplici — come ricevere un file o un messaggio — ogni utente, senza eccezioni, si trasforma in un bersaglio potenziale. L’elemento più inquietante è che Meta fosse già a conoscenza del problema, ma non sia riuscita ad agire in tempo. Quando l’aggiornamento di novembre è stato rilasciato, parte del codice vulnerabile era ancora attivo. Solo dopo la divulgazione pubblica, e il relativo clamore, è arrivata la correzione completa.
Perché Meta ha agito tardi e cosa cambia ora per la sicurezza
Il comportamento di Meta in questa vicenda ha sollevato domande più ampie. Non si tratta solo di una vulnerabilità tecnica risolta con ritardo, ma di un caso che mette in discussione l’intero modello di gestione delle emergenze digitali. Le regole nel settore sono chiare: quando un team di sicurezza esterno segnala una falla, l’azienda ha un margine temporale definito (90 giorni) per correggerla prima che i dettagli diventino pubblici. Questa “scadenza etica” serve a tutelare gli utenti senza alimentare il panico.
Ma quando i 90 giorni passano e la falla resta aperta, chi ha sbagliato? Meta ha cercato di intervenire, ma secondo gli esperti il primo fix era incompleto. Solo quando la questione è diventata di dominio pubblico, l’azienda ha completato l’analisi e chiuso tutte le varianti della minaccia, comprese quelle non note.
Nel frattempo, la reputazione dell’app ha subito un colpo. WhatsApp basa il suo successo anche sulla promessa di una comunicazione protetta, cifrata, privata. Ogni falla non gestita, ogni attacco che passa sotto silenzio, mina questo patto non scritto con gli utenti. E la trasparenza forzata, per quanto imbarazzante, ha dimostrato di essere uno strumento efficace: quando i riflettori si accendono, le risposte arrivano prima.
Oggi l’app è aggiornata e la falla è chiusa. Ma la vicenda lascia un messaggio chiaro: la sicurezza informatica non può più dipendere solo dalla buona volontà delle aziende. Serve un meccanismo più rapido, condiviso, vincolante. Gli utenti non possono aspettare lo scandalo per ricevere protezione.
