Netcrook Logo
👤 SECPULSE
🗓️ 06 Jan 2026  

La fuga nascosta di WhatsApp: come i dettagli del tuo dispositivo potrebbero alimentare il prossimo grande attacco malware

Sottotitolo: Una vulnerabilità silenziosa nel protocollo di crittografia di WhatsApp sta permettendo agli aggressori di individuare i dispositivi degli utenti, alzando la posta in gioco per il cyber-spionaggio mirato.

Immagina questo: stai messaggiando con gli amici su WhatsApp, fiducioso nella promessa della crittografia end-to-end. Ma dietro le quinte, un difetto sottile ha esposto in silenzio un’impronta digitale - una che rivela non solo che sei online, ma esattamente quale dispositivo stai usando. Per oltre tre miliardi di persone, questa perdita invisibile è una miniera d’oro tanto per gli hacker quanto per le spie governative.

Fatti in breve

  • Il protocollo di crittografia di WhatsApp lascia trapelare agli aggressori informazioni sul sistema operativo del dispositivo.
  • Oltre 3 miliardi di utenti sono potenzialmente colpiti da questo difetto di fingerprinting.
  • Gli aggressori possono identificare se un utente è su Android o su iPhone - senza alcuna interazione dell’utente.
  • Meta (la società madre di WhatsApp) ha rilasciato una correzione parziale, ma restano vulnerabilità chiave.
  • Non è stato assegnato alcun CVE ufficiale e i ricercatori di sicurezza non sono stati informati della patch.

L’anatomia di una fuga silenziosa

La crittografia end-to-end multi-dispositivo di WhatsApp è stata progettata per mantenere private le conversazioni. Ogni dispositivo mantiene la propria sessione sicura, usando chiavi di crittografia uniche. Ma i ricercatori di sicurezza hanno scoperto che proprio questa architettura può tradire gli utenti: sottili differenze nel modo in cui queste chiavi vengono generate consentono a un aggressore di “fingerprintare” il sistema operativo di un dispositivo, distinguendo Android da iPhone con precisione chirurgica.

Ecco come funziona l’exploit: interrogando i server di WhatsApp per ottenere materiale relativo alle chiavi di crittografia, gli aggressori possono estrarre parametri rivelatori - nessun malware necessario, nessuna azione dell’utente richiesta. Per i cybercriminali e gli hacker sponsorizzati dagli Stati, conoscere il dispositivo del bersaglio è fondamentale. Inviare un exploit Android a un iPhone allerta la vittima e rischia di bruciare costosi strumenti di hacking. Ma con questo difetto, la ricognizione è semplice e invisibile.

La risposta di WhatsApp è stata prudente e silenziosa. Dopo che i ricercatori hanno segnalato il problema, Meta ha distribuito una modifica per randomizzare gli ID delle chiavi per i dispositivi Android, rendendo più difficile l’identificazione diretta. Tuttavia, un parametro cruciale (l’ID PK One-Time) continua a esporre differenze nette tra Android e iPhone, lasciando la porta aperta agli aggressori.

A peggiorare le cose, WhatsApp ha scelto di non assegnare un identificatore Common Vulnerabilities and Exposures (CVE) - minimizzando la gravità e aggirando la più ampia comunità della sicurezza. I ricercatori sono rimasti all’oscuro della correzione, venendone a conoscenza solo monitorando sottili cambiamenti nel codice.

Perché è importante

Questo è più di un intoppo tecnico. In un mondo in cui malware mirati e strumenti di sorveglianza vengono scambiati per milioni, il fingerprinting del dispositivo è un primo passo critico per gli aggressori avanzati. Senza una randomizzazione completa e una divulgazione trasparente, i miliardi di utenti di WhatsApp restano esposti a profilazione silenziosa e attacchi su misura.

Gli esperti di sicurezza avvertono che la trasparenza - attraverso i CVE e un dialogo aperto con i ricercatori - è essenziale per costruire fiducia e proteggere gli utenti. Correzioni a pezzi e patch silenziose lasciano lacune critiche ed erodono la fiducia anche nelle piattaforme più popolari.

Guardando avanti

La patch parziale di WhatsApp è un inizio, ma il lavoro è tutt’altro che concluso. Finché Meta non si impegnerà in correzioni complete e in una comunicazione aperta, l’app di messaggistica preferita al mondo resterà un bersaglio di alto valore per le spie digitali. Per gli utenti, la vera privacy significa più della sola crittografia - richiede vigilanza, trasparenza e responsabilità da parte di chi promette di proteggerci.

WIKICROOK

  • End: La crittografia end-to-end è un metodo di sicurezza in cui solo il mittente e il destinatario possono leggere i messaggi, mantenendo i dati privati rispetto ai fornitori del servizio e agli hacker.
  • Device Fingerprinting: Il device fingerprinting raccoglie dettagli unici del tuo dispositivo per identificarlo o tracciarlo online, spesso usato per la sicurezza, la pubblicità o per aggirare i controlli sulla privacy.
  • Zero: Una vulnerabilità zero-day è un difetto di sicurezza nascosto, sconosciuto al produttore del software, per il quale non esiste alcuna correzione disponibile, rendendolo altamente prezioso e pericoloso per gli aggressori.
  • Bug Bounty: Un bug bounty è un programma in cui le aziende ricompensano i ricercatori di sicurezza per aver trovato e segnalato vulnerabilità software, al fine di migliorare la cybersicurezza.
  • CVE (Common Vulnerabilities and Exposures): Un CVE è un identificatore pubblico univoco per una specifica vulnerabilità di sicurezza, che consente un tracciamento e una discussione coerenti in tutta l’industria della cybersicurezza.
WhatsApp device fingerprinting cyber-espionage
SECPULSE SECPULSE
SOC Detection Lead
← Back to news