Chi usa WhatsApp sul proprio PC Windows, deve fare molta attenzione. Meta ha lanciato l’allarme: una vulnerabilità di sicurezza potrebbe indurre gli utenti ignari a scaricare e installare malware. La falla, classificata come “spoofing” con ID CVE-2025-30401, permette ai cybercriminali di camuffare codice malevolo sotto forma di innocui file allegati.
Vulnerabilità su WhatsApp desktop, il malware si nasconde negli allegati
Normalmente, quando si riceve un allegato, WhatsApp lo identifica in base al suo MIME type. In pratica, capisce se si tratta di un’immagine, un documento o un video in base al contenuto effettivo del file. Tuttavia, quando si apre manualmente l’allegato, WhatsApp si basa sull’estensione del file (come .jpg o .exe) per decidere come gestirlo.
Il problema sorge quando un hacker crea un allegato con un deliberato “mismatch” tra MIME type ed estensione. Ecco dove si nasconde la vera astuzia dell’attacco. Il file si presenta con una doppia identità. Il suo MIME type suggerisce che si tratta di una semplice immagine, e WhatsApp ci casca in pieno, ma la realtà è ben diversa. L’estensione del file – quel “.exe” o simili alla fine del nome – rivela la sua vera natura: nonè una foto, ma un programma eseguibile pronto a scatenarsi sullo sfortunato dispositivo. È come un lupo travestito da pecora.
Se il destinatario apre manualmente l’allegato, perché si aspetta di vedere un’immagine innocua, il sistema esegue in silenzio il programma nascosto nel file. In un attimo, senza accorgersi di nulla, il codice malevolo inizia a lavorare nell’ombra, frugando tra i dati personali, installando malware o dirottando il sistema.
Meta invita ad aggiornare WhatsApp desktop alla versione 2.2450.6 o successive
Nel suo avviso di sicurezza, Meta spiega che la vulnerabilità riguarda WhatsApp per Windows prima della versione 2.2450.6. Quindi, il consiglio è di aggiornare immediatamente l’app alla versione 2.2450.6 o successiva. Si può scaricare dal sito ufficiale di WhatsApp o dal Microsoft Store.
Ma aggiornare l’app non basta. Gli esperti di cybersecurity lo ripetono come un mantra: bisogna sviluppare un sano scetticismo verso qualsiasi allegato sospetto, anche quando sembra arrivare da un amico o un parente. Un hacker esperto può fingersi chiunque. Nel dubbio, è meglio fare la cosa più vecchia del mondo: alzare il telefono e chiamare direttamente la persona per chiedere delucidazioni. Quei trenta secondi potrebbero salvare da settimane di incubi. Come dice un vecchio proverbio riadattato all’era digitale: “Fidarsi è bene, ma verificare è meglio.“
Ti potrebbe interessare
9 apr 2025