Menù

LA MINACCIA ZERO-CLICK

da | Mag 21, 2025 | Attualità | 0 commenti

Questo articolo riguarda anche te.

A volte pensi di stare al sicuro perché non clicchi mai link sospetti: e invece proprio senza alcun clic il tuo telefono può essere violato. In un attacco “zero-click” basta la ricezione di un SMS, una foto, un messaggio di WhatsApp o persino una chiamata persa per iniettare malware nello smartphone.

In pratica, l’hacker sfrutta una falla del sistema operativo o dell’app di messaggistica, invia dati appositamente “congegnati” e in pochi istanti ottiene il controllo completo del dispositivo senza che tu ne sappia nulla. La vittima non deve fare niente: il telefono elabora da solo il contenuto compromesso e silenziosamente installa uno spyware o un trojan. Spesso l’unica traccia lasciata è una notifica di chiamata persa da un numero sconosciuto. È come se un ladro entrasse in casa dal camino senza suonare il campanello.

Cos’è un attacco zero-click

In parole semplici, un attacco zero-click è un exploit remoto che non richiede alcuna interazione da parte tua. Diversamente dal classico phishing (dove bisogna cliccare un link o aprire un allegato), qui l’hacker invia un file, un pacchetto dati o un messaggio che appare innocuo ma contiene codice malevolo. Quando il tuo telefono lo riceve, l’exploit scatta in automatico: sfrutta un bug o una vulnerabilità (spesso zero-day) presente nell’app o nel sistema e attiva il malware in background. Di conseguenza è molto più difficile individuare l’attacco: non ci sono link visibili da non cliccare, nessuna pop-up sospetta, solo il silenzio del tuo smartphone che inizia a “lavorare” per l’attaccante. Proprio per questo questi attacchi vengono definiti “senza click” o “no click”: il nome enfatizza il fatto che nemmeno un clic dell’utente è necessario per l’infezione.

Chi colpisce e perché

Questi attacchi sono ancora molto mirati. In genere i bersagli preferiti sono figure di alto profilo: giornalisti, attivisti, politici, funzionari governativi e chiunque gestisca dati sensibili. Per esempio, uno dei malware zero-click più noti è Pegasus, venduto dall’israeliana NSO Group a governi e agenzie di intelligence. Gli sviluppatori di Pegasus hanno sperimentato negli anni vari exploit per iPhone e Android, usati per spiare giornalisti come il team del New York Times e la moglie di Jamal Khashoggi, attivisti in Thailandia e perfino funzionari dell’Unione Europea. Dato il costo e la complessità di questi spyware “mercenari”, chi offre tali attacchi si rivolge soprattutto a vittime ad alto valore informativo.

Questo però non significa che un utente qualunque sia totalmente al sicuro. Come spiegano esperti di sicurezza, un tempo anche persone comuni potevano cadere in attacchi zero-click “di massa” quando comparivano certi exploit diffusi. Oggi il fenomeno è meno diffuso fra utenti ordinari, perché il mercato degli exploit zero-day è cresciuto e un attacco mirato costa molto. Tuttavia, tutti i telefoni sono potenziali obiettivi: ogni smartphone contiene molte app di messaggistica e comunicazione (iMessage, WhatsApp, Telegram, ecc.), e queste app elaborano dati ricevuti da fonti esterne. Se in futuro dovesse emergere una falla in una di queste app usate anche dal tuo dispositivo, un malintenzionato potrebbe sfruttarla. Insomma, anche senza andare a caccia di VIP, il rischio zero-click rimane: l’attacco non è legato al tuo comportamento, ma a una falla tecnica.

Esempi concreti di attacchi zero-click

Negli ultimi anni ci sono stati diversi casi reali che dimostrano quanto questi attacchi siano pericolosi e difficili da fermare. Eccone alcuni:

  • Pegasus su iMessage (2021): nel 2021 il laboratorio di ricerca Citizen Lab scoprì un attacco su un iPhone 12 Pro di un attivista bahreinita. L’iPhone era aggiornato all’ultima versione di iOS (14.4/14.6), ma è stato infettato tramite una vulnerabilità sconosciuta in iMessage. Questo exploit, battezzato “ForcedEntry”, aggirava la protezione “BlastDoor” di Apple. In pratica, l’aggressore inviava un’immagine apparentemente innocua, ma dentro c’era codice malevolo che installava lo spyware Pegasus. Apple rispose rapidamente rilasciando la patch di sicurezza con iOS 15. Questo caso è celebre perché ha dimostrato che anche un iPhone aggiornato poteva essere spiato senza che l’utente cliccasse nulla.
  • Vulnerabilità di WhatsApp (2019): un altro attacco zero-click famoso ha sfruttato WhatsApp nel 2019. Gli hacker sfruttarono un bug nel codice che gestisce le chiamate. Inviando una chiamata persa malevola, hanno caricato in background uno spyware all’interno dell’app di messaggistica. Il telefono della vittima si infettava nel giro di pochi secondi, senza bisogno di accettare la chiamata. Fortunatamente WhatsApp ha corretto rapidamente la falla, ma il caso mostrò che bastava non rispondere a una chiamata per ricevere un virus sul telefono.
  • Video Maligno su WhatsApp (2018): lo scandalo di Jeff Bezos nel 2018 è un’altra dimostrazione. Il principe saudita Mohammad bin Salman inviò al CEO di Amazon un video via WhatsApp. Quel video conteneva un frammento di codice malevolo che, una volta aperto da Bezos, permise agli hacker di estrarre dati dal suo iPhone per mesi. Anche in questo caso l’utente non stava cliccando link strani: ha aperto un file multimediale apparentemente innocuo che invece nascondeva lo spyware.
  • Hacking via TikTok (2024): a giugno 2024 è emerso un attacco zero-click sui profili di personaggi famosi su TikTok. In pratica gli hacker sfruttarono una vulnerabilità nell’app di TikTok che permetteva di impiantare malware semplicemente inviando un messaggio diretto (DM) elaborato dall’app senza alcuna interazione dell’utente. Secondo le indagini, sono stati compromessi alcuni account di alto profilo, costringendo TikTok a intervenire con patch di sicurezza. Questo caso recente dimostra che anche piattaforme social apparentemente estranee agli spyware possono nascondere exploit zero-click.

In sostanza, gli hacker a volte non hanno bisogno nemmeno di un link sospetto: basta un messaggio o un file compromesso per impiantare lo spyware. Notoriamente i nomi coinvolti sono quelli di aziende di spyware commerciali come NSO Group (Pegasus), ma anche gruppi di hacking governativi (come l’unità “Project Raven” degli Emirati, che anni fa sfruttò iMessage per spiare dissidenti). Oggi diverse agenzie di intelligence nel mondo usano tecniche zero-click per intercettare i sospetti. In pratica, il “click” che noi utenti non diamo può essere letteralmente rimpiazzato da un bug del software che gli aggressori conoscono in anticipo.

Come proteggersi dagli attacchi zero-click

Poiché il grande svantaggio di questi attacchi è la stealth, l’utente deve affidarsi soprattutto a misure preventive generali. Ecco alcuni consigli pratici (con relative fonti di sicurezza):

  • Aggiorna subito il dispositivo: mantieni sempre aggiornati il sistema operativo e le app. Gli aggiornamenti software spesso includono patch per vulnerabilità note che gli hacker cercano di sfruttare. Un telefono non aggiornato è un bersaglio facile, mentre una volta installata una patch l’exploit diventa più impegnativo.
  • Solo app ufficiali e fonte sicure: scarica applicazioni solamente da store ufficiali (Google Play o Apple App Store). Evita siti o store alternativi che potrebbero ospitare app “clonate” con vulnerabilità. Anche Check Point checkpoint.com raccomanda di installare solo applicazioni affidabili per minimizzare i rischi di exploit nascosti.
  • Dai un taglio alle vecchie app e fai backup: elimina regolarmente dal telefono le app che non usi più e liberati dei dati inutili. In questo modo riduci le potenziali vie di attacco. Inoltre, esegui backup regolari dei tuoi dati. Se purtroppo scoprissi di essere stato infettato da uno spyware, un backup recente ti permetterà di resettare e ripristinare il telefono senza perdere tutto (e pulire la minaccia).
  • Proteggi gli account con password forti e 2FA: utilizza password complesse e attiva, dove possibile, l’autenticazione a due fattori. Anche se gli zero-click non sono legati al furto di credenziali tramite phishing, mantenere gli account più protetti con la 2FA rende più difficile agli hacker usare il telefono come via di accesso ad altri servizi. Come suggerisce Apple, è sempre buona pratica “aggiornare all’ultima versione software, usare l’autenticazione multifattore e installare app solo da fonti verificate”.
  • Usa protezioni aggiuntive (Lockdown Mode, antivirus…): molte piattaforme offrono funzionalità speciali. Ad esempio, su iPhone si può attivare la Modalità Blocco (Lockdown Mode), che disabilita alcune funzionalità del telefono per difenderlo da spyware sofisticati. Apple ha dichiarato che nessuno degli utenti in Lockdown è stato finora colpito da spyware “mercenario”. Allo stesso modo, Samsung ha introdotto strumenti come Message Guard (parte di Knox) che controllano e filtrano i messaggi e le immagini potenzialmente malevoli. Infine, considera l’installazione di un’app antivirus/mobile security affidabile: non potrà individuare sempre gli zero-click più avanzati, ma può bloccare una buona parte di malware noti ed emettere avvisi tempestivi.

Seguendo queste buone pratiche di “igiene digitale” si riduce notevolmente il rischio complessivo. Ricorda: non è possibile eliminare la minaccia zero-click con un solo click (anzi, per definizione neanche quello). Ma nel frattempo, tenersi il telefono aggiornato, usare account protetti e non sottovalutare eventuali comportamenti strani (batteria che cala rapidamente, app che si aprono da sole, ecc.) sono le migliori difese di cui disponi.

Fonti: per scrivere questo articolo ho consultato diversi studi e reportage di sicurezza informatica che evidenziano la natura degli attacchi zero-click e i casi reali descritti, insieme ai consigli di aziende specializzate (Kaspersky, Check Point, ESET, ecc.) su come proteggersi.

Ecco alcune citazioni:

Cosa sono gli attacchi zero click e come difendersi – FASTWEBPLUS

https://www.fastweb.it/fastweb-plus/digital-magazine/cosa-sono-gli-attacchi-zero-click-e-come-difendersi/

Che cos’è un attacco Zero Click? – Software Check Point

https://www.checkpoint.com/it/cyber-hub/cyber-security/what-is-a-zero-click-attack/

Exploit zero-click

https://www.kaspersky.it/resource-center/definitions/what-is-zero-click-malware

Apple’s iPhone Spyware Problem Is Getting Worse. Here’s What You Should Know | WIRED

https://www.wired.com/story/apple-iphone-spyware-101/

Silent but deadly: The rise of zero-click attacks – ESET Ireland

https://blog.eset.ie/2023/12/20/silent-but-deadly-the-rise-of-zero-click-attacks/

Celebrity TikTok Accounts Compromised Using Zero-Click Attack via DMs

https://thehackernews.com/2024/06/celebrity-tiktok-accounts-compromised.html

 

Carlo Makhloufi Donelli
Nato a Villerupt (F) il 12.02.1956 – Studioso e Ricercatore in fisica quantistica applicata a biologia molecolare e neuroimmunologia – Membro del board di ricerca scientifica di diverse organizzazioni nazionali ed internazionali – Ideatore e Coordinatore del progetto EDIPO «Eliminazione isole di plastica oceaniche»

Condividi

0 commenti

Invia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Articoli Recenti

Categorie

Eventi

VENERDÌ 23 MAGGIO: PRESENTAZIONE DEL LIBRO DI CARLO IANNELLO

VENERDÌ 23 MAGGIO: PRESENTAZIONE DEL LIBRO DI CARLO IANNELLO

Nel suo ultimo libro, Carlo Iannello ricostruisce i contorni del neoliberalismo oligarchico e illiberale, che può essere contrastato solo ridando forza al progetto profondamente umano contenuto nella Costituzione repubblicana, costruito sul primato della persona...

Leggi anche