WhatsApp innalza drasticamente il livello di protezione per utenti ad alto rischio con il lancio di una nuova funzionalità di sicurezza denominata "Impostazioni account rigorose", progettata specificamente per giornalisti, personalità pubbliche e figure esposte a minacce sofisticate come attacchi spyware di livello governativo. La mossa di Meta rappresenta una risposta concreta alle crescenti preoccupazioni sulla sorveglianza digitale e agli exploit zero-click che hanno ripetutamente compromesso dispositivi iOS e Android attraverso la piattaforma di messaggistica, nonostante la crittografia end-to-end già implementata.
La funzionalità, attualmente in fase di distribuzione graduale nelle prossime settimane, può essere attivata esclusivamente dal dispositivo principale dell'utente navigando in Impostazioni > Privacy > Avanzate e selezionando l'opzione dedicata. Una volta abilitata, il sistema applica automaticamente i controlli di privacy più restrittivi disponibili, trasformando radicalmente il profilo di sicurezza dell'account senza richiedere configurazioni manuali aggiuntive.
Il pacchetto di protezioni comprende l'attivazione forzata della verifica in due passaggi, il blocco automatico di media e allegati provenienti da mittenti sconosciuti, la disattivazione delle chiamate da contatti non salvati in rubrica e l'eliminazione delle anteprime dei link. Parallelamente, vengono oscurati tutti i metadati sensibili: informazioni su ultimo accesso e stato online, foto profilo, descrizione personale e link biografici diventano completamente inaccessibili a chiunque non sia nella lista contatti dell'utente.
Meta sottolinea con chiarezza che questa modalità non è destinata all'utenza generale: "Questa funzionalità è costruita per il numero molto limitato di utenti che potrebbero essere obiettivo di tali attacchi. Dovresti attivarla solo se ritieni di poter essere bersaglio di una campagna cyber sofisticata. La maggior parte delle persone non è interessata da questi attacchi", si legge nel documento di supporto ufficiale. L'azienda enfatizza come la crittografia end-to-end rimanga la base della protezione per tutti, ma riconosce che determinate categorie professionali necessitano di salvaguardie estreme contro minacce rarissime ma altamente elaborate.
La tempistica dell'annuncio non è casuale: giornalisti, attivisti e figure politiche hanno subito negli anni attacchi mirati attraverso WhatsApp sfruttando spyware come Pegasus di NSO Group, spesso mediante exploit zero-click che permettono l'infezione di dispositivi iOS e Android senza alcuna interazione della vittima. Nell'agosto scorso, WhatsApp ha corretto una vulnerabilità zero-day nei client iOS e macOS sfruttata proprio in attacchi mirati senza interazione, seguendo di pochi mesi un altro aggiornamento di sicurezza per bloccare una falla utilizzata per diffondere lo spyware Paragon Graphite.
Le vicende legali confermano la gravità del fenomeno: documenti giudiziari emersi a novembre 2024 hanno rivelato che NSO Group avrebbe continuato a distribuire exploit zero-day anche dopo essere stata citata in giudizio da WhatsApp. A maggio 2025, l'azienda israeliana è stata condannata a pagare 167 milioni di dollari per attacchi spyware che nel 2019 avevano colpito 1.400 utenti WhatsApp a livello globale, una cifra che testimonia l'estensione delle operazioni di sorveglianza commerciale.
Parallelamente alle nuove impostazioni di sicurezza, WhatsApp sta implementando dietro le quinte una transizione graduale verso Rust, linguaggio di programmazione noto per le sue caratteristiche di sicurezza memoria-safe che riducono drasticamente le superfici di attacco sfruttabili tramite vulnerabilità buffer overflow e memory corruption. Questa migrazione tecnica mira a rafforzare le difese contro malware che prendono di mira specificamente contenuti multimediali e messaggi, tradizionalmente vettori preferiti per l'iniezione di codice malevolo.
