0-day 0-click su WhatsApp! un’immagine basta per prendere il controllo del tuo iPhone

Qualche produttore di spyware starà probabilmente facendo ginnastica… strappandosi i capelli. Ma ormai è il solito teatrino: c’è chi trova, chi incassa, chi integra e poi arriva il ricercatore di turno a rovinare la festa — per etica o per qualsiasi altra ragione scenica.

Recentemente è stata individuata una falla di sicurezza in WhatsApp che consente l’esecuzione di codice remoto (RCE) senza necessità di clic (0-click). Questa vulnerabilità risulta essere già attivamente sfruttata dagli aggressori su piattaforme Apple, tra cui iOS, macOS e iPadOS.

I ricercatori di DarkNavyOrg hanno individuato una falla sfruttando due vulnerabilità, CVE-2025-55177 e CVE-2025-43300, in una proof-of-concept. Questa debolezza permette di compromettere i dispositivi in modo silenzioso, senza richiedere alcun intervento dell’utente.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Le vittime ricevono un file immagine DNG dannoso tramite WhatsApp e, dopo l’analisi automatica, subiscono il controllo completo del dispositivo. Lo sfruttamento inizia con CVE-2025-55177, un difetto logico critico nella logica di gestione dei messaggi di WhatsApp.

Per impostazione predefinita, WhatsApp non è in grado di comprendere che un messaggio in arrivo sia realmente originato da un dispositivo connesso autorizzato. Un aggressore può aggirare le verifiche di sicurezza iniziali e includere un file DNG contraffatto nella cronologia chat della vittima modificando la fonte del messaggio.

Poiché WhatsApp elabora i messaggi automaticamente, anche prima che l’utente li visualizzi, il payload viene recapitato senza avvisare la vittima. Una volta consegnato, il carico utile DNG malformato innesca la seconda falla, CVE-2025-43300. Questa vulnerabilità risiede nella libreria di analisi dei file DNG, dove un controllo improprio dei limiti provoca un errore di danneggiamento della memoria.

Quando il motore di elaborazione multimediale di WhatsApp tenta di analizzare la struttura DNG non corretta, sovrascrive le regioni di memoria critiche, consentendo a un aggressore di dirottare il flusso di esecuzione ed eseguire codice arbitrario sul dispositivo di destinazione. Uno sfruttamento riuscito comporta la compromissione completa del dispositivo e in questo scenario gli aggressori possono effettuare tutte le classiche operazione di un spyware:

• Esfiltrare dati personali, inclusi messaggi, contatti, foto e credenziali;
• Intercettazione dei flussi audio e video in diretta dalla telecamera e dal microfono;
• Installare backdoor persistenti o malware per l’accesso a lungo termine;
• Manipolare le impostazioni di sistema, disattivare le funzionalità di sicurezza o rimuovere le prove di compromissione.

Le vittime non hanno la possibilità di ispezionare o bloccare il payload dannoso prima dell’esecuzione e le protezioni standard degli endpoint potrebbero non contrassegnare il file DNG malformato come dannoso.

La società DarkNavyOrg è tuttora impegnata nell’investigazione degli exploit di tipo zero-click associati. Una vulnerabilità relativa a Samsung (CVE-2025-21043) è stata menzionata dal gruppo come attualmente in fase di studio. La recente serie di scoperte mette in evidenza la difficoltà costante nel salvaguardare i parser di file sofisticati all’interno delle app di messaggistica che operano su più piattaforme, ove persino formati sicuri come il DNG possono essere sfruttati come canali di attacco.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.