Una falla su WhatsApp viene corretta silenziosamente, ma la community non ci sta AmmassiIT

Tempo di lettura: 3 minuti

WhatsApp ha corretto in modo parziale una falla di privacy che permette il fingerprinting dei dispositivi tramite il suo protocollo multi‑dispositivo, ma senza advisory pubblici né CVE, cosa che sta irritando parecchio la community di ricercatori.

Indice dei contenuti:

Cosa fa davvero la vulnerabilità

La falla non riguarda la cifratura end‑to‑end dei contenuti, ma i metadati: da un semplice numero di telefono è possibile inferire sistema operativo (Android vs iOS), device principale, età del dispositivo e se l’uso è da app mobile o da client desktop/web.
Questo è possibile perché gli ID delle chiavi crittografiche (One‑Time PK ID) seguivano pattern prevedibili e diversi tra piattaforme, esponendo una vera e propria “impronta” del device interrogando i server, senza alcuna interazione dell’utente.

Il “fix silenzioso” di WhatsApp

Meta ha iniziato a randomizzare gli identificativi chiave solo su Android, dove ora l’ID sfrutta l’intero spazio a 24 bit, rendendo molto più difficile distinguerlo da fuori.
Su iOS però l’ID continua a partire da un valore basso e ad aumentare lentamente, per cui un attaccante può ancora distinguere con alta probabilità Android da iPhone, mantenendo di fatto un canale di fingerprinting.

Perché la community è scontenta

Le modifiche sono arrivate senza advisory ufficiale, senza CVE e inizialmente senza riconoscere adeguatamente i ricercatori, che avevano documentato il problema già dal 2024–2025 (Be’ery, Gegenhuber, ecc.).
Meta considera l’OS fingerprinting a bassa severità (impatti pratici limitati senza uno zero‑day per consegnare exploit mirati), ma i ricercatori ribattono che in operazioni di cyber‑spionaggio sapere in anticipo l’OS è cruciale per scegliere e non “sprecare” exploit costosi.

Rischio reale per l’utente

Da solo, questo leak di metadati non compromette chat o contenuti, ma abbassa la barriera per chi dispone già di exploit zero‑click per Android/iOS e usa WhatsApp come vettore.
In scenari “normali” il rischio per l’utente medio rimane contenuto; diventa invece molto più interessante in contesti di sorveglianza mirata (spyware commerciali, campagne di stato, ecc.), dove la fase di ricognizione è fondamentale.

Cosa puoi fare in pratica

Tenere WhatsApp e OS sempre aggiornati resta la mitigazione principale, perché il fingerprinting ha senso solo se esistono zero‑day attivi per la tua piattaforma.
Limitare l’esposizione del numero (es. evitare di pubblicarlo in chiaro online) riduce la superficie d’attacco per tecniche che partono dal solo numero, come enumerazione account e fingerprinting su larga scala.

La falla riguarda il protocollo multi‑dispositivo di WhatsApp e il modo in cui genera e gestisce gli ID delle chiavi (pre‑key) per ogni device; da questi pattern un attaccante può dedurre OS, tipo e in parte “età” del dispositivo interrogando i server, senza alcuna interazione utente.

Contesto nel protocollo multi‑device

WhatsApp usa un’architettura stile Signal/Sesame: per ogni account ci sono più device, ognuno con una propria coppia di chiavi e una sessione E2EE separata (Signed Pre‑Key + One‑Time Pre‑Key, batch di pre‑key su server).
Quando qualcuno ti manda un messaggio, il client del mittente recupera dal server i pre‑key dei tuoi device; queste richieste possono essere automatizzate e non richiedono che tu interagisca o veda nulla.

Che cosa trapela esattamente

Dai metadati associati alle sessioni si possono derivare:
- numero di device collegati (telefono, desktop, altri telefoni)
- distinzione mobile/desktop e alcune caratteristiche persistenti del device
- sistema operativo (Android vs iOS, e in alcuni casi anche desktop OS).
Il punto chiave è che gli ID delle chiavi (Signed PK ID / One‑Time PK ID) e la dimensione/rotazione dei batch di pre‑key seguono schemi diversi tra piattaforme, fornendo una vera impronta digitale: Android e iOS usano strategie di inizializzazione e incremento differenti, da cui si può inferire anche da quanto tempo il device è attivo o quanto viene usato.

Flusso d’attacco tipico

Un attaccante automatizza richieste di pre‑key verso i server di WhatsApp per una lista di numeri di telefono; per ogni numero osserva:
- quanti device risultano associati
- pattern degli ID di pre‑key (range, distribuzione, ritmo di incremento).
Da queste informazioni costruisce un OS classifier: se gli ID cadono in certi intervalli o mostrano certe sequenze → Android; altri pattern → iOS, e così via; il tutto senza inviare messaggi né apparire nelle chat della vittima.

Differenza tra Android e iOS (prima e dopo il fix)

Prima della correzione:
- Android inizializzava alcuni ID con valori bassi e incrementali e rigenerava batch di pre‑key con una logica prevedibile.
- iOS usava una strategia ancora diversa, con incrementi lenti ma riconoscibili e una diversa distribuzione degli ID.
Adesso:
- Su Android gli ID sono randomizzati sull’intero spazio disponibile (es. 24 bit), rendendo molto più difficile capire la piattaforma dal solo valore numerico.
- Su iOS la logica di inizializzazione rimane basata su incrementi graduali, quindi la separazione Android/iPhone è ancora possibile con alta probabilità osservando i pattern; il fix è quindi parziale.

Impatto operativo e limiti del bug

Il contenuto dei messaggi resta cifrato end‑to‑end; la falla non permette decrittazione dei messaggi, ma migliora sensibilmente la fase di ricognizione nel kill chain:
- si può preparare in modo “silente” liste di target Android vs iOS
- ottimizzare l’uso di zero‑click/zero‑day specifici per piattaforma, evitando sprechi o crash rumorosi.
Il rischio più concreto è per target ad alto profilo (sorveglianza mirata, spyware commerciale, operazioni state‑sponsored), meno per l’utente medio; tecnicamente però il canale di fingerprinting resta sfruttabile almeno per distinguere OS e caratteristiche di base del device.

＼ Get the latest news ／

Visto: + 115

Ti potrebbero interessare anche:

Articoli simili

Blog | Computer | Informatica | News | Scienza e tecnologia | Sicurezza | Tecnologia | Virus informatici

La Lombardia sta vivendo un’ondata senza precedenti di criminalità informatica
DiRedazione Novembre 7, 2025Novembre 7, 2025

Tempo di lettura: 3 minutiLa Lombardia sta vivendo un’ondata senza precedenti di criminalità informatica: negli ultimi tre mesi sono stati registrati oltre mille attacchi informatici, con il phishing, il social engineering e l’uso dell’intelligenza artificiale come principali strumenti dei cybercriminali. Dati e andamento degli attacchi Metodi e vittime Cause e rischi Risposta istituzionale In sintesi, la Lombardia si conferma…

Leggi di più Una falla su WhatsApp viene corretta silenziosamente, ma la community non ci sta
Blog | Informatica | News | Rete | Scienza e tecnologia | Sicurezza | Tecnologia

Truffa via mail: phishing sul Fascicolo Sanitario Elettronico, l’alert del Ministero della Salute
DiRedazione Luglio 16, 2025Luglio 17, 2025

Tempo di lettura: 3 minuti🚨 Allerta phishing sul Fascicolo Sanitario Elettronico (FSE) Il Ministero della Salute ha lanciato un avviso urgente riguardo a una campagna di phishing in corso che sfrutta il nome del Ministero per ingannare i cittadini italiani. 🕵️‍♂️ Come funziona la truffa ❌ Cosa NON fare 🛡️ Raccomandazioni del Ministero 📧 Segnali chiave di un’email di…

Leggi di più Truffa via mail: phishing sul Fascicolo Sanitario Elettronico, l’alert del Ministero della Salute
Computer | Informatica | Rete | Sicurezza | Smartphone | Windows

Dark web: cos’è, pericoli e come accedere al deep web
DiRedazione Ottobre 24, 2024Ottobre 31, 2025

Tempo di lettura: 3 minutiGran parte di Internet, non accessibile con tradizionali motori di ricerca, racchiude anche mercati neri illegali dove, fra l’altro, prosperano i cybecriminali che possono utilizzare informazioni riservate e credenziali di imprese senza che queste ne siano consapevoli è una parte di Internet normalmente non accessibile, descritta con la metafora dell’iceberg, a significare che solo una…

Leggi di più Una falla su WhatsApp viene corretta silenziosamente, ma la community non ci sta
Blog | News | Scienza e tecnologia | smartwatch

Recensione Garmin Fenix 8
DiRedazione Ottobre 22, 2025Ottobre 31, 2025

Tempo di lettura: 3 minutiIl Garmin Fenix 8 è uno smartwatch multisport premium lanciato nel 2025, pensato per atleti, escursionisti e professionisti del fitness che desiderano uno strumento completo per l’attività all’aperto e l’allenamento avanzato. Display e design Il Fenix 8 è disponibile con display AMOLED o MicroLED ad alta luminosità, con risoluzione di 454×454 pixel e diametro da 1,4 pollici. Offre un’eccellente…

Leggi di più Una falla su WhatsApp viene corretta silenziosamente, ma la community non ci sta
Blog | Computer | Informatica | News | Scienza e tecnologia | Tecnologia | Virus informatici

FormBook virus informatico un malware di tipo infostealer
DiRedazione Settembre 30, 2025Settembre 30, 2025

Tempo di lettura: 3 minutiFormBook è un malware di tipo infostealer (ruba-informazioni) scoperto per la prima volta nel 2016, noto per il furto di dati sensibili da sistemi infetti. Agisce intercettando varie informazioni come le credenziali memorizzate nei browser web, le sequenze di tasti (keylogging), gli screenshot, e il contenuto degli appunti. FormBook può anche scaricare ed eseguire file…

Leggi di più Una falla su WhatsApp viene corretta silenziosamente, ma la community non ci sta
Android | Android | Blog | News | Scienza e tecnologia | Sicurezza | Smartphone | Tecnologia | Virus informatici

Allarme Android, individuate due gravi vulnerabilità
DiRedazione Dicembre 10, 2025Dicembre 10, 2025

Tempo di lettura: 3 minutiLe “due gravi vulnerabilità” Android sono gli zero‑day CVE‑2025‑48633 (information disclosure) e CVE‑2025‑48572 (elevation of privilege) corretti nel bollettino di sicurezza di dicembre 2025, già sfruttati in attacchi mirati. Colpiscono in pratica tutti i device con Android 13‑16 finché non applicano la patch di sicurezza 2025‑12‑01/05. Cosa fanno le due vulnerabilità A queste si affianca…

Leggi di più Una falla su WhatsApp viene corretta silenziosamente, ma la community non ci sta

5 1 voto

Valutazione dell'articolo

Nome*

Email*

Sito web

0 Commenti

Vecchi

Più recenti Le più votate

Feedback in linea

Visualizza tutti i commenti

Sandro su La possibilità di una Terza Guerra Mondiale, esiste?Gennaio 13, 2026
Già!
Davide su Il silicio e i computer quantisticiGennaio 12, 2026
Per eseguire calcoli complessi, i qubit devono essere interconnessi in modo efficiente.
Giuseppe su Agenzia delle entrate, pignoramenti 2026Gennaio 3, 2026
Bene! Andate avanti così.ammazzate i piccoli e lasciate i grandi ad evadere l..vedi Amazon che se la sono cavata con…
Paolo su Con l’ultimo aggiornamento il DJI Neo 2 si può effettivamente controllare da Apple WatchDicembre 19, 2025
Sì: con l’ultimo firmware il Neo 2 diventa davvero “pilotabile dal polso”, non è solo un telecomando mascherato ma un…
Paolo su Apple, aggiornamento iOS 26.2: le novità in arrivo per gli utentiDicembre 19, 2025
iOS 26.2 è un aggiornamento “da installare”, perché non porta solo ritocchi estetici ma nuove funzioni concrete (AirPods Live Translation,…