Immagina di essere aggiunto a un gruppo WhatsApp, magari da un numero che non conosci. Non clicchi niente, non scarichi nulla volontariamente, eppure sul tuo telefono Android arriva un file potenzialmente pericoloso. Automaticamente. Senza il tuo consenso. Sembra fantascienza, ma è realtà: Google Project Zero ha scoperto una vulnerabilità grave in WhatsApp per Android che permette proprio questo scenario. Il meccanismo è tanto elegante quanto inquietante. Un malintenzionato crea un gruppo, ti aggiunge insieme a un tuo contatto, nomina quest’ultimo amministratore e carica file multimediali malevoli. Se hai il download automatico dei media attivato, quei file finiscono direttamente nel database MediaStore del tuo dispositivo. E se il file è sufficientemente sofisticato da evadere da quell’ambiente protetto, può eseguire codice dannoso sul tuo telefono. Zero click, zero interazione, massimo danno potenziale.
Google ha segnalato il problema a Meta il 1° settembre 2024, concedendo i classici 90 giorni per sistemarlo. Scadenza: 30 novembre. Meta ha rilasciato una correzione parziale lato server, ma il bug persiste. Secondo Brendon Tiszka del team Project Zero, la vulnerabilità è ancora operativa mentre scriviamo. Meta sta lavorando a una soluzione completa, ma nel frattempo milioni di utenti Android hanno WhatsApp vulnerabile installato sui loro dispositivi. La policy di Google Project Zero è chiara e, per alcuni versi, spietata: dopo 90 giorni, se il problema non è risolto, la vulnerabilità diventa pubblica. È una scelta controversa. Le aziende lamentano che le correzioni complesse richiedono più tempo, Google risponde che 90 giorni sono più che sufficienti e che rendere pubblici i problemi crea la pressione necessaria per non lasciarli marcire nei backlog delle priorità.
Ma come funziona esattamente questo attacco? Non è automatico per tutti, devono verificarsi alcune condizioni precise. Prima di tutto, l’attaccante deve conoscere il tuo numero di telefono e quello di un tuo contatto. Non è banale, ma nemmeno impossibile in un’era dove i numeri circolano su forum, data breach e database pubblici. Secondo: deve creare un file multimediale abbastanza sofisticato da evadere dal database MediaStore ed eseguire codice sul sistema operativo. Non parliamo di un PDF qualsiasi scaricato da internet. Terzo punto cruciale: devi avere il download automatico dei media attivato. E qui casca l’asino, perché questa è l’impostazione predefinita di WhatsApp. La stragrande maggioranza degli utenti usa l’app così come esce dalla scatola, senza toccare le impostazioni. Quarta condizione: non devi aver attivato la funzione Privacy avanzata delle chat, che limita chi può aggiungerti ai gruppi senza il tuo consenso.
Chi ha attivato la Privacy avanzata o disattivato il download automatico è al sicuro per impostazione predefinita. Il file malevolo non verrà mai scaricato. Ma quanti utenti hanno cambiato queste impostazioni? Probabilmente una minoranza. La maggior parte scorre conversazioni, manda foto, condivide video, ignara che sotto il cofano WhatsApp sta scaricando automaticamente ogni immagine, ogni video, ogni documento che passa nei gruppi. Difendersi è possibile, e ci sono due strade. La prima: attivare la Privacy avanzata delle chat. Vai nelle impostazioni dei gruppi e abilita questa funzione. Limiterai drasticamente chi può aggiungerti senza il tuo consenso esplicito. La seconda opzione, più radicale ma più sicura: disattivare completamente il download automatico dei media. Vai in Impostazioni, poi Spazio e dati, quindi Download automatico media, e spegni tutto. Da quel momento dovrai scaricare manualmente ogni foto, video o documento che ricevi.
La seconda opzione è meno comoda, certo. Ogni volta che qualcuno ti manda un’immagine dovrai cliccare per vederla. Ma in un contesto dove la vulnerabilità è nota, pubblica e ancora non completamente sistemata, un po’ di scomodità può essere un prezzo accettabile per la sicurezza. WhatsApp è la più grande piattaforma di comunicazione al mondo. Miliardi di utenti. Messaggi personali, conversazioni di lavoro, documenti aziendali, foto di famiglia, tutto passa da lì. Per i criminali informatici è un bersaglio che fa gola come pochi altri. Meta lo sa, ha risorse, ingegneri brillanti, budget illimitato. Eppure una vulnerabilità segnalata il 1° settembre non è ancora completamente risolta a fine gennaio. Qualcosa, evidentemente, non ha funzionato come doveva.
Il caso solleva domande più ampie sulla sicurezza delle piattaforme di massa. Quando miliardi di persone dipendono da un’unica app per comunicare, ogni bug diventa un’emergenza potenziale. E quando le correzioni tardano ad arrivare, la finestra di vulnerabilità si allarga pericolosamente. Gli utenti comuni non hanno modo di verificare se Meta ha davvero sistemato il problema lato server, né possono sapere se il loro dispositivo specifico è ancora esposto. Nel frattempo, la soluzione più saggia è agire in prima persona. Disattiva il download automatico, attiva la Privacy avanzata delle chat, fai un giro nelle impostazioni di WhatsApp che probabilmente non tocchi da quando hai installato l’app. Pochi minuti di configurazione possono fare la differenza tra un telefono protetto e uno esposto a potenziali attacchi.
