June 09, 2026

WhatsApp che scrive al posto tuo

L’attacco 0-click sugli iPhone con iOS 16

image

Un account dirottato senza un clic, senza QR code e senza dispositivi collegati visibili — come funziona, perché sfugge alle difese tradizionali e cosa fare subito

Nelle ultime settimane il nostro SecOps Team ha osservato il riemergere di una tecnica di compromissione che pensavamo confinata a campagne mirate e di nicchia: il dirottamento di account WhatsApp su iPhone con iOS 16, senza QR code, senza codici condivisi e senza alcun dispositivo collegato visibile nelle impostazioni dell'app.

Non è un fenomeno isolato ai nostri casi: nei giorni scorsi Paolo Dal Checco, perito informatico forense e ricercatore italiano, ha segnalato su X qualcosa di insolito https://x.com/forensico/status/2056973772557619386, allertando gli utenti di iPhone dal modello 8 al 14 con iOS 16 rispetto a un nuovo pattern di attacco osservato in più casi, in cui un attaccante accede alle chat e invia messaggi dall'account della vittima.

Le analisi sul campo dello studio Forenser e le rilevazioni del nostro SecOps team convergono sullo stesso quadro.

Quello che a un primo sguardo sembra l'ennesima truffa da messaggistica è in realtà un caso di studio interessante per chi fa detection: un account takeover che vive interamente sul telefono personale, fuori dal perimetro classico, e che non lascia gli artefatti su cui i controlli tradizionali sono tarati.

Cosa vede la vittima (cioè: quasi nulla)

Lo scenario osservato è ricorrente e identico in tutti i casi raccolti:

  • l’utente non compie alcuna azione: nessun link cliccato, nessun allegato aperto, nessun codice o QR code condiviso;
  • a un certo punto i contatti recenti ricevono, dal numero della vittima, richieste di bonifico o di denaro;
  • la vittima se ne accorge solo quando qualcuno risponde con un “ma perché mi chiedi dei soldi?”;
  • nella sezione Dispositivi collegati (Linked Devices) di WhatsApp non risulta nulla di anomalo: è pulita.

L’assenza totale di interazione da parte dell’utente esclude il classico raggiro “con QR o codice” e fa propendere per una compromissione 0-click: basta ricevere un contenuto malevolo generato dall’attaccante, senza nemmeno aprirlo, per permettere all’attaccante di prenderne possesso.

<br>



Cosa c’è dietro

Il vettore documentato come ipotesi principale è la concatenazione di due CVE già note e patchate nel 2025, entrambe presenti nel catalogo CISA KEV e già sfruttate in attacchi mirati reali:

  • CVE-2025-55177 (WhatsApp): un controllo di autorizzazione incompleto sui messaggi di sincronizzazione tra dispositivi permette di far elaborare al telefono un contenuto remoto senza alcuna interazione. È il canale di consegna.

  • CVE-2025-43300 (Apple ImageIO): una falla nel componente di sistema che elabora le immagini; un’immagine malformata può corrompere la memoria e arrivare all’esecuzione di codice — anche solo generando un’anteprima, senza che la vittima apra nulla. È il payload.

Messe in fila: una porta dentro il contenuto, l’altra lo esegue. Il risultato non è un malware vistoso, ma il furto del materiale crittografico di sessione, abbastanza per far comparire un client WhatsApp “fantasma” agganciato all’account della vittima ma invisibile tra i dispositivi collegati.

Una precisazione doverosa: la causa esatta non è confermata. Sono stati segnalati anche casi con WhatsApp già aggiornato e Meta, al momento, non conferma l’intrusione; l’analisi è tuttora in corso.

Anatomia del “client fantasma”

L'evidenza forense più caratteristica emersa dalle analisi dei log (sysdiagnose e unified logs) è una sequenza continua e anomala di eventi resync generati da WhatsApp: l'app sembra rinegoziare di continuo la sessione con i server. Letta correttamente, questa sequenza è la firma di una competizione tra due endpoint che provano a tenere viva la stessa sessione sullo stesso account: il telefono legittimo e il client dell'attaccante si contendono la sessione, riautenticandosi ciclicamente. A supporto dell'ipotesi ImageIO, negli stessi log compaiono errori della libreria di parsing immagini in orari compatibili con la finestra di compromissione.

Questo spiega i tre indizi controintuitivi:

  1. Nessun dispositivo collegato visibile → la sessione fantasma non passa dal normale flusso di linked device e non viene listata;
  2. Niente notifica → né WhatsApp né iOS avvisano l'utente del nuovo endpoint;
  3. Solo chat recenti → la sessione clonata sincronizza una finestra limitata di conversazioni.

Un vettore meno ovvio

Un account takeover su WhatsApp sembra un problema “consumer”, lontano dal SOC. Non lo è:

  • vive sul telefono, dove raramente arriva un EDR aziendale;
  • non lascia nessun IOC tradizionale: nessun dominio loggato dal proxy, nessun binario, nessun dispositivo collegato visibile;
  • il payload finale è social engineering ad alta resa: una richiesta di denaro che arriva dal numero reale e fidato di un collega, un dirigente o un fornitore.

È il classico caso che pivota da fuori perimetro verso un impatto aziendale reale — frodi sui pagamenti, conversazioni riservate, impersonation di figure apicali. Esattamente il tipo di vettore che, anche quando non tocca un endpoint gestito, vale la pena tenere nel radar.



Hardening e consiglio pratico immediato

Il consiglio più importante e immediato è uno: aggiornare iOS ad almeno 18.6.2 (per gli iPhone più vecchi fermi su iOS 16, l’ultima release di sicurezza disponibile, ≥ 16.7.12) e WhatsApp all’ultima versione. Nei casi osservati, con l’OS aggiornato vengono meno le condizioni di sfruttamento.

Inoltre:

  • attivare la Lockdown Mode sui dispositivi più esposti;
  • proteggere le chat sensibili con il blocco chat biometrico di WhatsApp: nelle osservazioni sul campo le chat bloccate non risultavano accessibili all’attaccante;
  • in caso di sospetta compromissione, reinstallare o ri-autenticare WhatsApp (o spostarlo su un nuovo dispositivo) per invalidare la sessione fantasma;
  • a livello organizzativo, verificare sempre out-of-band ogni richiesta di pagamento ricevuta via messaggistica: una telefonata diretta, non una risposta sulla stessa chat (che l’attaccante potrebbe leggere).

Un account dirottato su un’app consumer sembra il vettore più lontano dal SOC. È invece il promemoria che il perimetro non coincide sempre con i dispositivi che gestiamo, e che la differenza tra un fastidio personale e una frode aziendale sta sempre più nella capacità di accorgersene.

 Pier Giorgio Bergonzi, Product Marketing

Registrati

Registrati alla nostra newsletter

Cliccando invia, acconsento all'uso dei miei dati personali in accordo con Certego Privacy Policy per finalità sub. 2 paragrafo “Finalità del trattamento dei dati e base giuridica” Certego will not sell, trade, lease, or rent your personal data to third parties.

Perché Certego
Perché Certego
    Servizi
    Piattaforma
    Risorse
    Azienda
    Copyright © 2026 www.certego.net
    Certego S.R.L. · P.I. 03517100362
    Certego S.R.L.
    Address: Via F. Lamborghini 81, 41121 Modena (MO)