Bug, Mobile, Notizie

Un bug di WhatsApp consente la diffusione di file multimediali dannosi attraverso le chat di gruppo

di Pieter Arntz | 27 gennaio 2026
Logo dell'app Whatsapp sullo schermo di un dispositivo.

WhatsApp sta attraversando un periodo difficile. Alcuni utenti sostengono che sia così da quando Meta ha acquisito la piattaforma di messaggistica, un tempo ampiamente affidabile. Il sentiment degli utenti è passato da "messenger predefinito affidabile" a prodotto Meta necessario ma sgradito.

Gli utenti Privacy continuano a considerare WhatsApp una delle piattaforme di messaggistica di massa più sicure, a patto di bloccarne le impostazioni. Anche in questo caso, molti rimangono preoccupati per l'ecosistema più ampio di Meta e vorrebbero che tutti i loro contatti passassero a una piattaforma più sicura.

Torniamo all'attualità, che non farà altro che rafforzare questo sentimento.

Il Project Zero di Google ha appena rivelato una vulnerabilità di WhatsApp che consente a un file multimediale dannoso, inviato in una chat di gruppo appena creata, di essere scaricato automaticamente e utilizzato come vettore di attacco.

Il bug colpisce WhatsApp su Android comporta il download di file multimediali senza alcun clic nelle chat di gruppo. È possibile subire un attacco semplicemente venendo aggiunti a un gruppo e ricevendo un file dannoso.

Secondo Project Zero, l'attacco è più probabile che venga utilizzato in campagne mirate, poiché l'autore dell'attacco deve conoscere o indovinare almeno un contatto. Sebbene sia mirato, è relativamente facile da ripetere una volta che l'autore dell'attacco dispone di un elenco di potenziali bersagli.

E per aggiungere ulteriore sale sulla ferita dei concorrenti di WhatsApp, una preoccupazione potenzialmente ancora più grave per la popolare piattaforma di messaggistica, un gruppo internazionale di querelanti ha citato in giudizio Meta Platforms, sostenendo che il proprietario di WhatsApp può archiviare, analizzare e accedere praticamente a tutte le comunicazioni private degli utenti, nonostante le affermazioni di WhatsApp sulla crittografia end-to-end.

Come proteggere WhatsApp

Secondo quanto riferito, Meta ha effettuato una modifica al server l'11 novembre 2025, ma Google afferma che ciò ha risolto solo in parte il problema. Meta sta quindi lavorando a una soluzione completa.

Il consiglio di Google è quello di disattivare Download automatico Download attivarePrivacy Advanced di WhatsApp, in modo che i file multimediali non vengano scaricati automaticamente sul telefono.

E dovrai mantenere WhatsApp aggiornato per ottenere le ultime patch, cosa valida per qualsiasi app e per Android .

Disattivadownload file multimediali

Obiettivo: garantire che nessuna foto, video, audio o documento venga trasferito sul dispositivo senza una decisione esplicita.

  • Apri WhatsApp sul tuo Android .
  • Tocca il menu con i tre puntini nell'angolo in alto a destra, quindi tocca Impostazioni.
  • Vai su Archiviazione e dati (talvolta denominato Utilizzo dati e archiviazione).
  • Sotto download multimediale, vedrai Quando si utilizzano dati mobili, quando connesso al Wi-Fi e quando in roaming.
  • Per ciascuna di queste tre voci, toccala e deseleziona tutti i tipi di file multimediali: Foto, Audio, Video, Documenti. Quindi tocca OK.
  • Verifica che sotto ogni categoria sia ora visualizzato un messaggio simile a "Nessun contenuto multimediale".

In questo modo si implementa direttamente la guida di Project Zero che consiglia di "disabilitare Downloadautomatico Downloadin modo che i file multimediali dannosi non possano arrivare silenziosamente sul tuo dispositivo di archiviazione non appena vieni inserito in un gruppo ostile.

Anche se WhatsApp continua a scaricare alcuni contenuti, puoi impedire che finiscano nella memoria condivisa, dove altre app e componenti di sistema possono vederli.

  • In Impostazioni, vai su Chat.
  • Disattiva la visibilità dei media (o un'opzione simile, come Mostra media nella galleria). Per le chat particolarmente sensibili, apri la chat, tocca il nome del contatto o del gruppo, trova Visibilità dei media e impostala su No per quel thread.

WhatsApp è una sandbox e dovrebbe contenere la minaccia. Ciò significa che conservare i file multimediali all'interno di WhatsApp rende più difficile l'elaborazione di un file dannoso da parte di altri componenti, potenzialmente più vulnerabili.

Blocca chi può aggiungerti ai gruppi

La catena di attacchi richiede che l'autore dell'attacco aggiunga te e uno dei tuoi contatti a un nuovo gruppo. Ridurre il numero di persone che possono farlo diminuisce il rischio.

  • In Impostazioni, tocca Privacy.
  • Gruppi di tocco.
  • Passa da Tutti a I miei contatti o, idealmente, a I miei contatti eccetto... ed escludi tutti i numeri di cui non ti fidi completamente.
  • Se utilizzi WhatsApp per lavoro, valuta la possibilità di limitare l'appartenenza al gruppo esclusivamente a contatti conosciuti e amministratori approvati.

Configura la verifica in due passaggi sul tuo account WhatsApp

Leggi questa guida per Android iOS imparare come farlo.

Non ci limitiamo a fornire informazioni sulla sicurezza del telefono, ma le forniamo.

I rischi per la sicurezza informatica non dovrebbero mai diffondersi al di là di un titolo di giornale. Tenete le minacce lontane dai vostri dispositivi mobili scaricando oggi stesso Malwarebytes per iOS e Malwarebytes per Android.

Informazioni sull'autore

Pieter Arntz

Pieter Arntz

Ricercatore nel campo della sicurezza informatica

È stato un MVP Microsoft per la sicurezza dei consumatori per 12 anni consecutivi. Sa parlare quattro lingue. Profuma di mogano e di libri rilegati in pelle.

ULTIMI ARTICOLI

Notizie
Controlli di verifica dell'età

Il fornitore di servizi di verifica dell'età Persona ha lasciato esposto il frontend

Febbraio 20, 2026

Oltre a un semplice controllo dell'età, i ricercatori affermano che il sistema di Persona esegue un controllo approfondito dell'identità, della watchlist e dei media negativi.

AI
Una mano si abbassa per afferrare un asterisco da una password scritta.

Le password generate dall'intelligenza artificiale rappresentano un rischio per la sicurezza

Febbraio 19, 2026

Le password generate dall'intelligenza artificiale sono "altamente prevedibili" e non sono realmente casuali, rendendole più facili da decifrare per i criminali informatici.

Notizie
Logo Tenga

Il produttore di articoli per l'intimità Tenga ha divulgato i dati dei propri clienti

Febbraio 19, 2026

Un attacco di phishing ai danni di un dipendente di Tenga potrebbe aver compromesso i dati dei clienti statunitensi. I clienti devono prestare attenzione ai tentativi di phishing a sfondo sessuale.

Icona dei collaboratori

Contribuenti

Icona del Centro per le minacce

Centro delle minacce

Icona Podcast

Podcast

Icona del glossario

Glossario

Icona delle truffe

Truffe