/https://www.ilsoftware.it/app/uploads/2025/04/foto-michele-nasi.jpg){kind=small}
/https://www.ilsoftware.it/app/uploads/2026/03/darksword-attacco-iphone-iOS-18.jpg "Apple avverte: aggiornare subito iPhone contro attacchi diffusi come DarkSword")
Una semplice visita a una pagina Web può trasformarsi in un vettore di compromissione per milioni di iPhone. Il toolkit DarkSword, individuato da Google Threat Intelligence Group insieme a Lookout e iVerify, sfrutta una combinazione di vulnerabilità in iOS 18.4 fino a iOS 18.7 per sottrarre dati personali e riservati senza richiedere installazioni o interazioni complesse.
Il problema assume una dimensione concreta se si considera che circa il 25% dei dispositivi Apple attivi utilizza ancora versioni vulnerabili del sistema operativo, un bacino che equivale a centinaia di milioni di terminali potenzialmente esposti.
Gli attacchi contro iOS non rappresentano una novità. Da oltre un decennio, piattaforme come iPhone sono oggetto di campagne mirate basate su exploit zero-click e catene di vulnerabilità nel browser WebKit. Tuttavia, DarkSword introduce un approccio più rapido e opportunistico, meno orientato alla sorveglianza persistente e più focalizzato sulla sottrazione di dati immediata. La differenza è importante: gli aggressori hanno azzerato la necessità di mantenere accesso prolungato ai dispositivi iOS delle vittime.
Una catena di exploit che parte dal browser
Il punto di ingresso principale è il motore WebKit, componente fondamentale di Safari e di altri browser su iOS.
DarkSword utilizza una sequenza di vulnerabilità che consente di eseguire codice arbitrario semplicemente caricando una pagina malevola. Non serve installare app, né concedere permessi manuali. L’exploit sfrutta bug di memoria, tipicamente use-after-free o type confusion, per ottenere una prima esecuzione nel contesto del browser. Da qui, la catena prosegue con tecniche di escalation che aggirano le sandbox di iOS.
Gli attaccanti combinano vulnerabilità a livello kernel o nei servizi di sistema per ottenere accesso a dati normalmente protetti. Il risultato è un’esecuzione con privilegi sufficienti per leggere archivi locali, database delle applicazioni e componenti sensibili del sistema operativo.
Sottrazione dei dati rapida e assenza di persistenza
Come anticipato nell’introduzione, DarkSword si distingue per un comportamento insolito: non tenta di rimanere attivo nel dispositivo.
Una volta insediatosi nel dispositivo, raccoglie i dati disponibili e li invia a server remoti attraverso canali cifrati, spesso usando connessioni HTTPS (che hanno massima probabilità di non essere individuate). Il tempo di permanenza, definito dwell time, si limita a pochi minuti.
Dopo l’esfiltrazione, il codice elimina i file temporanei e termina il processo. Al riavvio del dispositivo, ogni traccia operativa risulta praticamente assente. La scelta riduce la possibilità di rilevamento forense e complica l’analisi post-incidente. Non si tratta insomma di uno spyware tradizionale, ma di uno strumento progettato per operazioni rapide e ripetibili.
Dati presi di mira e superfici di accesso
La quantità di informazioni accessibili dipende dal livello di compromissione raggiunto, ma i report indicano una raccolta estremamente ampia. DarkSword riesce a estrarre contenuti da keychain iOS, cronologia di navigazione, registri chiamate e contatti. Può accedere a messaggi iMessage, email e dati di applicazioni come WhatsApp e Telegram.
Particolarmente critica è la possibilità di ottenere credenziali salvate, incluse password WiFi e token di autenticazione iCloud. In alcuni scenari, gli attaccanti riescono a recuperare informazioni da wallet di criptovalute e impostazioni di servizi come Apple Dov’è.
Campagne reali e attori coinvolti
Le analisi hanno individuato diverse campagne. Un primo caso, osservato a novembre 2025, utilizzava un sito falso a tema Snapchat denominato Snapshare. La pagina reindirizzava gli utenti verso il servizio legittimo dopo aver eseguito l’exploit, riducendo la probabilità di sospetto.
Più recentemente, il gruppo identificato come UNC6353, con possibili legami con ambienti governativi russi, ha impiegato DarkSword contro utenti in Ucraina. Gli attacchi sono stati veicolati attraverso siti di notizie e portali istituzionali compromessi, una tecnica che aumenta l’affidabilità percepita del contenuto e migliora il tasso di successo.
Gli stessi attori risultano associati a un toolkit precedente chiamato Coruna, che prendeva di mira versioni di iOS comprese tra 13 e 17. La continuità tra i due strumenti suggerisce un’evoluzione incrementale delle tecniche di attacco piuttosto che un cambio radicale.
Risposta di Apple e misure di protezione
Apple ha riconosciuto il problema e ha fornito indicazioni su come mitigare il rischio. Le contromisure principali includono l’aggiornamento immediato a versioni di iOS successive alla 18.7, dove le vulnerabilità segnalate risultano già corrette. Le patch riguardano sia WebKit, sia componenti di sistema coinvolti nell’escalation dei privilegi.
Dal punto di vista tecnico, le mitigazioni si basano su miglioramenti nella gestione della memoria, rafforzamento delle sandbox e controlli più stringenti sui processi che interagiscono con dati sensibili. Tuttavia, nessuna protezione risulta efficace sui dispositivi non aggiornati.
Un ulteriore livello difensivo deriva dall’uso di funzionalità come la Modalità di isolamento Apple o Lockdown Mode: essa limita l’esecuzione di codice nei contenuti Web e riduce la superficie di attacco. La modalità introduce, tra le altre cose, severe restrizioni su JavaScript e rendering, rendendo più difficile l’exploit di vulnerabilità browser-based.
Due parole sulle versioni di iOS e sull’importanza di aggiornare
Le ultime versioni di iOS sono queste (major release):
- iOS 26: 15 settembre 2025
- iOS 18: 16 settembre 2024
- iOS 17: 18 settembre 2023
Le ultime versioni disponibili (aggiornamenti recenti) a fine marzo 2026:
- iOS 26.3.1: 4 marzo 2026
- iOS 18.7.x (serie finale): 4 marzo 2026 (aggiornamenti di sicurezza)
I ricercatori considerano espressamente sicura nei confronti di DarkSword e attacchi simili la release iOS 18.7.6 e ovviamente iOS 26. A questo proposito è importante tenere presente che Apple ha saltato volutamente i numeri 19-25 passando direttamente a iOS 26, adottando una numerazione allineata all’anno di riferimento. Chi sta usando iOS 18.7.x non è così indietro in termini di aggiornamenti, anzi.
Limiti strutturali e prospettive
DarkSword evidenzia un limite strutturale nella sicurezza mobile: la dipendenza da componenti condivisi come WebKit. Anche con sandbox robuste, una catena di vulnerabilità ben costruita può attraversare diversi livelli di protezione. La velocità di aggiornamento da parte degli utenti, con l’applicazione delle patch Apple, diventa quindi un fattore critico.
Il modello di attacco basato su esfiltrazione rapida potrebbe diffondersi ulteriormente: riduce i rischi per gli attaccanti e rende meno efficaci molte tecniche di rilevamento tradizionali. In assenza di persistenza, l’individuazione si affida quasi esclusivamente a indicatori di rete o a monitoraggi comportamentali avanzati.
La combinazione tra exploit Web, accesso a dati riservati e assenza di tracce durature indica una direzione precisa nello sviluppo degli strumenti offensivi. Non serve più mantenere il controllo del dispositivo quando è possibile ottenere tutto con un attacco da pochi minuti.
/https://www.ilsoftware.it/app/uploads/2024/06/1-9.jpg "Google impone 24 ore per il sideloading: la nuova procedura di sicurezza Android")
/https://www.ilsoftware.it/app/uploads/2026/03/swiftkey-microsoft-account.jpg "SwiftKey richiederà account Microsoft: cosa cambia")
/https://www.ilsoftware.it/app/uploads/2025/03/ILSOFTWARE-4-5.jpg "iOS 26.4 risolve un fastidioso bug della tastiera su iPhone")
/https://www.ilsoftware.it/app/uploads/2025/01/2-20.jpg "Mossa a sorpresa di Samsung sulla linea Galaxy per ridurre i costi")