Scopri anche

• Cybersecurity 2025: vulnerabilità critiche sfruttate in ore, ransomware evolve e attacchi su larga scala
• Apple conferma evento 4 marzo 2026: oltre mezza dozzina di nuovi dispositivi attesi
• DarkSword, nuova catena di exploit iOS: vulnerabilità corrette da Apple
• Apple introduce i Background Security Improvements: il nuovo sistema di patch automatiche per iPhone, iPad e Mac
• Apple lancia Background Security Improvements: aggiornamenti automatici per correggere vulnerabilità senza riavvii
• CVE-2026-24061: la vulnerabilità che concede accesso root senza autenticazione su Telnet
• Apple rilascia il primo Background Security Improvement per iOS, iPadOS e macOS Tahoe
• Apple introduce i Background Security Improvements: aggiornamenti di sicurezza invisibili tra una versione e l'altra
• Vulnerabilità zero-day in SharePoint e Zimbra: attacchi globali e mitigazione
• iOS 26: problemi di batteria e Face ID segnalati dagli utenti, ecco le cause e le soluzioni
• Apple rilascia aggiornamenti di sicurezza critici per iPhone e iPad: mitigato l'exploit Coruna
• DarkSword: nuovo exploit kit iOS colpisce milioni di iPhone con catena di vulnerabilità zero-day
• iOS 26.3.1: aggiornamento di stabilità, sicurezza e compatibilità per iPhone
• Nove vulnerabilità CrackArmor in Linux AppArmor espongono oltre 12 milioni di sistemi enterprise
• Apple rilascia aggiornamenti di sicurezza per iPhone e iPad datati: protegge dispositivi fino a un decennio
• Apple introduce i Background Security Improvement: il nuovo sistema di patch leggere per iOS e macOS
• Vulnerabilità critiche e ransomware: analisi delle minacce informatiche più pericolose
• iOS 26.3.1: Apple prepara l'aggiornamento di manutenzione per iPhone
• Le vulnerabilità critiche nella storia della cybersecurity: da EternalBlue alle minacce moderne
• Apple rilascia visionOS 26.3.1 per correggere lo sfarfallio nell'app Apple TV

Apple avverte gli utenti: aggiornare subito iPhone contro exploit DarkSword e Coruna

Apple avverte gli utenti: aggiornare subito iPhone contro exploit DarkSword e Coruna

Apple ha pubblicato un documento di supporto ufficiale in cui invita gli utenti ancora fermi a iOS 13 o iOS 14 ad aggiornare almeno a iOS 15 il prima possibile. L'avviso arriva dopo che ricercatori di sicurezza hanno identificato attacchi web-based che sfruttano vulnerabilità attive su versioni obsolete del sistema operativo, mettendo a rischio i dati personali di milioni di utenti.

Le campagne di attacco utilizzano exploit kit denominati "Coruna" e "DarkSword", capaci di colpire versioni di iOS dalla 13 fino alla 17.2.1. Questi strumenti combinano multiple falle di sicurezza per compromettere i dispositivi semplicemente attraverso la visita di una pagina web malevola, senza richiedere installazioni o interazioni complesse da parte dell'utente.

DarkSword: esfiltrazione rapida senza persistenza

⬆ Torna su

DarkSword è stato individuato dal Google Threat Intelligence Group insieme a Lookout e iVerify. Si distingue dagli spyware tradizionali per un comportamento specifico: non tenta di rimanere attivo nel dispositivo. Una volta insediatosi, raccoglie i dati disponibili e li invia a server remoti attraverso canali cifrati, tipicamente usando connessioni HTTPS. Il tempo di permanenza, definito dwell time, si limita a pochi minuti.

Dopo l'esfiltrazione, il codice elimina i file temporanei e termina il processo. Al riavvio del dispositivo, ogni traccia operativa risulta praticamente assente. Questa caratteristica riduce la possibilità di rilevamento forense e complica l'analisi post-incidente. Secondo i ricercatori, si tratta di uno strumento progettato per operazioni rapide e ripetibili, meno orientato alla sorveglianza persistente e più focalizzato sulla sottrazione immediata di dati.

Il punto di ingresso: motore WebKit

⬆ Torna su

Il punto di ingresso principale degli attacchi è il motore WebKit, componente fondamentale di Safari e di altri browser su iOS. DarkSword utilizza una sequenza di vulnerabilità che consente di eseguire codice arbitrario semplicemente caricando una pagina malevola. L'exploit sfrutta bug di memoria, tipicamente use-after-free o type confusion, per ottenere una prima esecuzione nel contesto del browser.

Da qui, la catena prosegue con tecniche di escalation che aggirano le sandbox di iOS. Gli attaccanti combinano vulnerabilità a livello kernel o nei servizi di sistema per ottenere accesso a dati normalmente protetti. Il risultato è un'esecuzione con privilegi sufficienti per leggere archivi locali, database delle applicazioni e componenti sensibili del sistema operativo.

Le CVE associate a DarkSword includono CVE-2025-31277, risolta in iOS 18.6, CVE-2026-20700 corretta in iOS 26.3, e altre falle patchate nelle versioni iOS 18.7.3, iOS 26.2, iOS 18.7.2 e iOS 26.1. I payload rilasciati hanno nomi come GHOSTBLADE, GHOSTKNIFE e GHOSTSABER.

Dati accessibili dagli attaccanti

⬆ Torna su

La quantità di informazioni accessibili dipende dal livello di compromissione raggiunto. DarkSword riesce a estrarre contenuti da keychain iOS, cronologia di navigazione, registri chiamate e contatti. Può accedere a messaggi iMessage, email e dati di applicazioni come WhatsApp e Telegram. Particolarmente critica è la possibilità di ottenere credenziali salvate, incluse password WiFi e token di autenticazione iCloud. In alcuni scenari, gli attaccanti riescono a recuperare informazioni da wallet di criptovalute e impostazioni di servizi come Apple Dov'è.

Coruna: il toolkit predecessore

⬆ Torna su

Prima di DarkSword, i ricercatori avevano già analizzato Coruna, una catena di exploit capace di combinare diverse falle di iOS per attaccare iPhone con versioni obsolete del sistema operativo. Gli stessi attori risultano associati a entrambi i toolkit, suggerendo un'evoluzione incrementale delle tecniche di attacco. Coruna prendeva di mira versioni di iOS comprese tra 13 e 17.

Campagne osservate e obiettivi geografici

⬆ Torna su

Le analisi hanno individuato diverse campagne. Un primo caso, osservato a novembre 2025, utilizzava un sito falso a tema Snapchat denominato Snapshare. La pagina reindirizzava gli utenti verso il servizio legittimo dopo aver eseguito l'exploit, riducendo la probabilità di sospetto. Più recentemente, il gruppo identificato come UNC6353, con possibili legami con ambienti governativi russi, ha impiegato DarkSword contro utenti in Ucraina. Gli attacchi sono stati veicolati attraverso siti di notizie e portali istituzionali compromessi.

Attacchi sono stati osservati anche in Arabia Saudita, Turchia, Malesia e Cina. La continuità tra i due strumenti suggerisce un framework utilizzato da diversi vendor commerciali di sorveglianza e da attori presumibilmente sponsorizzati da stati, in campagne separate.

Versioni di iOS interessate e dispositivi compatibili

⬆ Torna su

Il problema assume una dimensione concreta considerando che circa il 25% dei dispositivi Apple attivi utilizza ancora versioni vulnerabili del sistema operativo. I dispositivi che possono essere aggiornati includono: iPhone X, iPhone 8, iPhone 8 Plus, iPhone 7, iPhone 7 Plus, iPhone SE (1a generazione), iPhone 6s, iPhone 6s Plus, iPad (5a generazione), iPad Pro (9.7"), iPad Pro (12.9") (1a generazione) e iPad mini 4.

Apple precisa che tutti i modelli di iPhone in grado di far girare iOS 13 o iOS 14 sono tecnicamente compatibili con iOS 15. Non esistono smartphone Apple che abbiano come versione finale e insuperabile una di queste due vecchie release. Chiunque si trovi su quelle vecchie versioni può effettuare il salto.

Aggiornamenti di sicurezza rilasciati

⬆ Torna su

L'11 marzo 2026 Apple ha distribuito aggiornamenti specifici per iOS 15 e iOS 16 proprio per estendere le protezioni anche ai dispositivi più vecchi che non possono installare le versioni più recenti del sistema. iOS 15.8.4 (o 15.8.7 secondo alcune fonti), iOS 16.7.15, iPadOS 16.7.15 e iPadOS 15.8.7 portano fix di sicurezza pensati per i modelli che non possono aggiornarsi all'ultima versione disponibile.

Per chi dispone di un dispositivo compatibile, iOS 26.3.1 è la versione pubblica più recente. Apple continua inoltre ad aggiornare iOS 18, con iOS 18.7.6 rilasciato questo mese. I ricercatori considerano espressamente sicure nei confronti di DarkSword e attacchi simili la release iOS 18.7.6 e iOS 26. Apple ha saltato volutamente i numeri 19-25 passando direttamente a iOS 26, adottando una numerazione allineata all'anno di riferimento.

Protezioni alternative: Safe Browsing e Lockdown Mode

⬆ Torna su

Oltre agli aggiornamenti di sistema, Apple protegge attivamente gli utenti attraverso la funzione "Navigazione Sicura" integrata nativamente in Safari e attivata di default. Questo sistema blocca preventivamente l'accesso ai domini URL malevoli già identificati e associati a questi attacchi. Sebbene rappresenti un primo livello difensivo, non è sufficiente a fermare attacchi mirati e complessi con exploit zero-day.

Per chi non può aggiornare subito, Apple indica come alternativa l'attivazione della Lockdown Mode o Modalità di isolamento, disponibile a partire da iOS 16. Questa modalità limita l'esecuzione di codice nei contenuti Web e riduce la superficie di attacco. Introduce restrizioni severe su JavaScript e rendering, rendendo più difficile l'exploit di vulnerabilità browser-based. Blocca ad esempio il caricamento di immagini sospette nell'app Messaggi. Tuttavia, Apple precisa che questa modalità è un complemento e non può sostituire l'installazione di patch di sicurezza aggiornate.

Aggiornamento in background

⬆ Torna su

Nella stessa settimana, Apple ha rilasciato il primo aggiornamento di sicurezza in background per più dispositivi, una modalità che consente di applicare alcune correzioni senza richiedere un aggiornamento completo del sistema operativo. L'installazione di un aggiornamento richiede almeno il 50% di batteria oppure il collegamento a una fonte di alimentazione.

La raccomandazione di Apple di abbandonare iOS 13 e iOS 14 evidenzia come la sicurezza software sia un elemento sempre più critico, anche per un ecosistema chiuso come quello iOS. La frammentazione delle versioni installate sui dispositivi in circolazione rappresenta un terreno fertile per i malintenzionati. Chi non può aggiornare immediatamente dovrebbe attivare la Lockdown Mode e prestare massima attenzione ai link visitati e alle app utilizzate, ma questa è solo una misura temporanea.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Implicazioni e scenari

⬆ Torna su

L'evoluzione da Coruna a DarkSword indica un perfezionamento delle tecniche di attacco, con un modello operativo che privilegia rapidità e cancellazione delle tracce. La persistenza di dispositivi obsoleti amplia la superficie esposta.

• Scenario 1: gli attori legati a UNC6353 potrebbero continuare a sfruttare versioni iOS non patchate in contesti geopolitici sensibili, mantenendo un approccio "hit-and-run".
• Scenario 2: la disponibilità di aggiornamenti per iOS 15 e 16 potrebbe ridurre progressivamente il numero di dispositivi vulnerabili, ma la frammentazione rimane un fattore strutturale.
• Scenario 3: l'adozione della Lockdown Mode come misura complementare potrebbe diffondersi tra utenti ad alto rischio, limitando l'efficacia di exploit browser-based.

Cosa monitorare

⬆ Torna su

• Eventuali nuove campagne che coinvolgano siti compromessi o domini malevoli.
• L'effettiva velocità di adozione degli aggiornamenti di sicurezza tra i dispositivi legacy.
• Segnali di ulteriore evoluzione degli exploit kit oltre a DarkSword e Coruna.

Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.

Fonti

⬆ Torna su

• https://occhioaiprezzi.com/aggiorna-subito-iphone-apple-avverte-su-ios-13-14-a-rischio-sicurezza/
• https://www.ilsoftware.it/apple-avverte-aggiornare-subito-iphone-contro-attacchi-diffusi-come-darksword/
• https://www.ispazio.net/2205857/apple-invita-aggiornare-ios-subito-protezione-attacchi-web
• https://spider-mac.com/2026/03/20/darksword-attacco-iphone-ios-sicurezza-aggiornamenti/
• https://www.applezein.net/382126/allarme-sicurezza-apple-aggiornare-subito-vecchi-iphone-hacker/
• https://www.iphoneitalia.com/846810/vecchio-ios-su-iphone-sei-a-rischio-apple-consiglia-di-aggiornare-immediatamente
• https://www.macitynet.it/aggiornamenti-ios-16-ipados-16-ios-15-e-ipados-15-per-vecchi-iphone-e-ipad/