Non servono link, codici o autorizzazioni: cosa sappiamo davvero degli attacchi zero-click che potrebbero compromettere un account sulla piattaforma sfruttando vulnerabilità del softwareNon servono link, codici o autorizzazioni: cosa sappiamo davvero degli attacchi zero-click che potrebbero compromettere un account sulla piattaforma sfruttando vulnerabilità del softwareNegli ultimi anni di truffe su WhatsApp ne abbiamo viste di tutti i tipi: alcune puntavano sull’emozione, altre sull’urgenza, sono andate a segno perfino quelle fatte malissimo o dalla spiccata fantasia. Eppure tutti questi raggiri avevano un copione simile: un messaggio da un contatto conosciuto, una richiesta immediata, un codice a sei cifre da inoltrare oppure un link da aprire. Bastava un click, una distrazione, un momento di fretta per abboccare. Ora però sta emergendo uno scenario più inquietante: negli ultimi giorni stanno aumentando le segnalazioni di account WhatsApp che sembrano venire compromessi senza che la vittima abbia cliccato nulla, senza aver condiviso codici e senza aver autorizzato nuovi dispositivi. È il motivo per cui si parla di attacchi "zero-click", una categoria di attacchi informatici particolarmente insidiosa perché non richiede alcuna interazione da parte dell'utente.Cosa sta succedendoNegli ultimi giorni diversi media internazionali e siti specializzati in cybersicurezza hanno riportato casi di utenti che sostengono di aver visto il proprio account WhatsApp utilizzato per inviare messaggi ai contatti senza aver ricevuto richieste di codici o link sospetti. In alcuni casi le vittime si sono accorte che qualcosa non andava soltanto dopo essere state contattate da amici e parenti. A loro nome, infatti, erano stati inviati messaggi sospetti, spesso con richieste di denaro o altre comunicazioni insolite, senza che se ne fossero accorte. Dietro questi episodi ci sono vulnerabilità informatiche che gli esperti di cybersicurezza conoscono già da tempo. Nel 2025 WhatsApp ha corretto una falla di sicurezza che riguardava il sistema utilizzato per sincronizzare i dispositivi collegati allo stesso account. Secondo Meta, questa vulnerabilità avrebbe potuto essere sfruttata per far elaborare al telefono della vittima contenuti malevoli provenienti dall'esterno.Il problema, inoltre, poteva essere combinato con una seconda vulnerabilità scoperta nei sistemi Apple. Questa falla riguardava il software che gestisce le immagini su iPhone e Mac e, nei casi più gravi, avrebbe potuto consentire a un attaccante di compromettere alcune funzioni del dispositivo senza che l'utente dovesse cliccare su link, aprire file o compiere altre azioni. Apple ha spiegato che il difetto potrebbe essere stato utilizzato in attacchi particolarmente sofisticati rivolti a bersagli specifici.Truffa di massa o attacco mirato?È il punto più importante della vicenda. Al momento non esistono evidenze pubbliche che dimostrino l'esistenza di una campagna di massa in grado di prendere il controllo di qualsiasi account WhatsApp senza alcuna azione da parte dell'utente. Le comunicazioni ufficiali di WhatsApp e Apple parlano infatti di attacchi mirati e altamente sofisticati, rivolti a un numero limitato di bersagli. In altre parole, non si tratta di un fenomeno paragonabile alle classiche campagne di phishing che colpiscono milioni di persone contemporaneamente. Questo però non significa che il rischio sia inesistente. Il caso mostra come l'accesso a un account possa dipendere non solo dai comportamenti dell'utente ma anche dalla sicurezza del software utilizzato quotidianamente.Le differenze con le truffe tradizionaliPer anni il furto degli account WhatsApp è avvenuto principalmente attraverso tecniche di ingegneria sociale. Nel metodo più diffuso il criminale convince solitamente la vittima a comunicare il codice di verifica ricevuto via sms. In altri casi viene sfruttata la funzione dei dispositivi collegati, inducendo l'utente a scansionare un QR code o ad autorizzare inconsapevolmente un nuovo accesso. Nel caso degli attacchi zero-click, invece, il presupposto è diverso: il criminale sfrutta una vulnerabilità tecnica senza richiedere alcuna interazione diretta alla vittima.Come difendersiLe raccomandazioni da parte degli esperti restano relativamente semplici. Aggiornare sempre WhatsApp e il sistema operativo del proprio smartphone è il primo passo per evitare di essere esposti a vulnerabilità già corrette. È inoltre consigliabile controllare periodicamente la sezione dedicata ai dispositivi collegati, attivare la verifica in due passaggi e diffidare di qualsiasi richiesta di denaro ricevuta tramite messaggi, anche quando sembra provenire da contatti conosciuti. La vera novità non riguarda soltanto WhatsApp. Segna piuttosto un cambiamento nel modo in cui pensiamo alla sicurezza digitale. Per anni il consiglio è stato semplice: non cliccare, non scaricare, non condividere codici. Regole che restano fondamentali. Ma il caso delle vulnerabilità zero-click mostra come, nelle forme più avanzate di cybercriminalità, il problema non sia più soltanto l'errore umano ma il software stesso. Tag LEGGI ANCHE L'E COMMUNITYEntra nella nostra community Whatsapp