Scopri anche

• Apple rilascia iOS 18.7.7 per contrastare l'exploit kit DarkSword
• Vulnerabilità critiche in schede madri e software Gigabyte: milioni di sistemi a rischio
• Prompt injection e sicurezza degli agenti AI: la vulnerabilità strutturale delle aziende
• iOS 26.5 Beta 1: Apple rilascia la prima versione per sviluppatori con novità per Mappe, RCS e interoperabilità UE
• Vulnerabilità critiche in software e firmware Gigabyte: analisi delle falle di sicurezza e aggiornamenti disponibili
• Vulnerabilità critiche investono l'ecosistema WordPress: oltre 10 milioni di siti esposti a rischi di compromissione
• ChatGPT arriva su Apple CarPlay con iOS 26.4: interazione vocale esclusiva
• Apple rilascia patch di sicurezza per iOS 18 contro l'exploit DarkSword
• Samsung distribuisce la patch di sicurezza di marzo 2026 su ampia gamma di dispositivi Galaxy
• L'Italia nel mirino: attacchi informatici +42% e una sicurezza ancora sotto tono
• DarkSword: l'exploit kit iOS che combina sei vulnerabilità per il controllo silenzioso dei dispositivi
• L'intelligenza artificiale sta trasformando l'app economy: app come infrastruttura invisibile
• Telegram sotto attacco: vulnerabilità zero-day, truffe e minacce alla sicurezza
• Samsung rilascia la patch di sicurezza di marzo 2026: corrette 65 vulnerabilità sui dispositivi Galaxy
• Apple Intelligence arriva in Italia con iOS 18.4: tutte le funzionalità
• Vulnerabilità critiche nei router TP-Link: CISA e ricercatori segnalano falle diffuse
• Samsung Galaxy: patch di sicurezza marzo 2026 e roadmap aggiornamenti
• Cybersecurity automotive: normative UNECE R155, ISO 21434 e nuove minacce per i veicoli connessi
• L'intelligenza artificiale ridefinisce economia e lavoro: Apple incassa mentre il mercato si interroga sul futuro
• Tool di hacking DarkSword e Coruna trapelati online: come proteggere gli iPhone dalle vulnerabilità

Apple rilascia iOS 18.7.7 per bloccare l'exploit DarkSword

Apple rilascia iOS 18.7.7 per bloccare l'exploit DarkSword

Apple ha distribuito un aggiornamento di sicurezza destinato a un'ampia gamma di dispositivi ancora su iOS 18, estendendo le protezioni contro l'exploit kit DarkSword anche agli utenti che non hanno effettuato il passaggio a iOS 26. La versione iOS 18.7.7 segna un cambiamento nella consueta politica aziendale: per la prima volta Cupertino applica un backport di sicurezza su una versione precedente del sistema operativo, riconoscendo l'esigenza di tutelare chi sceglie di rimanere su iOS 18 per motivi di stabilità, preferenze personali o compatibilità applicativa.

Cos'è DarkSword e come opera

⬆ Torna su

DarkSword è un full-chain iOS exploit kit che concatena sei vulnerabilità distinte per ottenere l'esecuzione di codice su un dispositivo iOS. Le falle, identificate come CVE-2025-31277, CVE-2025-43529, CVE-2026-20700, CVE-2025-14174, CVE-2025-43510 e CVE-2025-43520, interessano componenti chiave del sistema: il motore WebKit, Safari, il dynamic loader e il kernel. La catena di attacco permette di passare dalla visita di una pagina web malevola alla compromissione completa del dispositivo.

L'attacco non richiede interazione da parte dell'utente: basta caricare un sito compromesso o un'inserzione malevola all'interno di Safari per innescare l'exploit chain. Non è necessario toccare link in Messages o approvare prompt di installazione. I ricercatori di Lookout, iVerify e Google Threat Intelligence hanno analizzato il kit, evidenziando una diffusione più ampia rispetto alle classiche catene di exploit iOS riservate a operazioni di sorveglianza mirate.

Il vettore di attacco e i dati rubati

⬆ Torna su

La tipologia di attacco è definita "watering hole": gli aggressori sfruttano siti web compromessi o creati ad hoc per distribuire codice malevolo. Una volta eseguito, l'exploit può sottrarre messaggi, inclusi quelli di app come WhatsApp e Telegram, cronologia di navigazione, dati di geolocalizzazione, foto, note e credenziali per portafogli di criptovalute. Le informazioni vengono trasferite su server controllati dagli attaccanti.

I primi attacchi sono stati osservati in Paesi come Cina, Malesia, Turchia, Arabia Saudita e Ucraina. Le campagne sono state attribuite a fornitori di sorveglianza commerciale e attori sponsorizzati da stati. La pubblicazione di parti del codice su GitHub ha abbassato la soglia tecnica richiesta per replicare l'attacco, rendendo lo strumento utilizzabile anche da malintenzionati privi di competenze avanzate.

Le componenti malware: GhostBlade, GhostKnife e GhostSaber

⬆ Torna su

Le analisi condotte evidenziano l'impiego di più famiglie di malware distribuite sfruttando la catena di vulnerabilità DarkSword. GhostBlade è un infostealer in JavaScript progettato per operare nel contesto del browser: intercetta dati sensibili, sessioni attive e credenziali. GhostKnife introduce una backdoor persistente nel sistema. GhostSaber è capace di eseguire codice remoto e orchestrare ulteriori payload.

La combinazione di queste componenti consente agli attaccanti di costruire catene di compromissione complete: accesso iniziale via browser, escalation dei privilegi e persistenza. Il codice JavaScript malevolo sfrutta vulnerabilità di tipo use-after-free e corruzione della memoria per uscire dalla sandbox del browser e interagire con i livelli più profondi del sistema operativo.

I tre livelli di intervento delle patch

⬆ Torna su

Apple ha distribuito correzioni che agiscono lungo tutta la catena dell'attacco. Il primo livello riguarda WebKit: sono stati corretti bug di tipo memory corruption e problemi nel JIT (Just-In-Time compilation) che consentivano lettura e scrittura arbitraria della memoria. Il secondo intervento interessa il sistema di isolamento dei processi: Apple ha rafforzato i controlli tra WebContent, processi GPU e altri daemon di sistema, eliminando le condizioni che permettevano il salto tra sandbox.

Il terzo livello è il kernel: qui le patch hanno corretto vulnerabilità che permettevano l'accesso diretto alla memoria e la manipolazione di strutture critiche. Apple ha potenziato sistemi di sicurezza come i Pointer Authentication Codes, codici che verificano l'integrità dei puntatori in memoria per impedire modifiche malevole, e le protezioni che limitano l'accesso non autorizzato a determinate aree critiche del sistema.

La novità del backport su iOS 18

⬆ Torna su

Storicamente, Apple ha riservato gli aggiornamenti di sicurezza per versioni datate esclusivamente ai dispositivi hardware più vecchi, non più in grado di supportare le nuove release principali. La decisione di fornire una patch per iOS 18, ancora eseguito su hardware compatibile con iOS 26, rappresenta una deviazione dalla consueta politica aziendale. Un portavoce di Apple ha confermato che la correzione verrà applicata automaticamente a tutti i dispositivi con iOS 18 che hanno abilitati gli aggiornamenti automatici.

La build iOS 18.7.7 e la corrispondente release per iPad risolvono le vulnerabilità sfruttate dalla catena DarkSword. Inizialmente l'aggiornamento era destinato solo ai modelli iPhone XS, XS Max, XR e iPad settima generazione, ma Apple ha ampliato la distribuzione a partire dal 1° aprile 2026 per raggiungere tutti i dispositivi ancora su iOS 18, indipendentemente dalla compatibilità con iOS 26.

Dispositivi compatibili e modalità di installazione

⬆ Torna su

L'aggiornamento iOS 18.7.7 copre un ampio spettro di dispositivi, dagli iPhone XR fino alle generazioni più recenti come iPhone 16. Anche numerosi modelli di iPad ricevono la patch, inclusi iPad Air con chip M2 e M3 e iPad Pro con architettura M4. I dispositivi con versioni dalla 18.4 alla 18.7 sono quelli identificati come vulnerabili.

Per installare l'aggiornamento, gli utenti possono procedere manualmente in Impostazioni > Generali > Aggiornamento software. Chi ha attivato gli aggiornamenti automatici riceverà la patch in background senza intervento manuale. Apple ha etichettato la release come critico per la sicurezza. Per i dispositivi con versioni più vecchie di iOS 18, Apple prevede un avviso aggiuntivo che invita a installare un aggiornamento di sicurezza critico.

La Modalità isolamento come difesa aggiuntiva

⬆ Torna su

Un ruolo nella protezione lo gioca la Modalità isolamento, introdotta nelle versioni precedenti di iOS: in questo scenario, alcune funzionalità del browser e del sistema vengono automaticamente disabilitate per ridurre la superficie attaccabile. I dati indicano che dispositivi con questa modalità attiva non risultavano vulnerabili alla catena DarkSword. Per giornalisti, attivisti o persone con accesso a dati sensibili, l'attivazione di questa modalità è consigliata, pur rendendo il dispositivo meno user-friendly.

Parallelamente alle patch, Apple ha implementato misure lato rete e browser: i domini e gli URL utilizzati nelle campagne di attacco sono bloccati direttamente in Safari, riducendo la possibilità di sfruttare exploit via Web. Questa attenzione riduce l'esposizione immediata, soprattutto contro attacchi di tipo watering hole.

Il contesto della minaccia e la risposta di Apple

⬆ Torna su

Il kit di exploit è diventato più pericolato quando parti del codice sono finite su piattaforme pubbliche come GitHub, abbassando la soglia tecnica richiesta per replicare l'attacco. La minaccia ha guadagnato rapidamente visibilità: da vulnerabilità limitata a strumento impiegabile da operatori meno esperti. Di fronte a questa emergenza, Apple ha deciso di intervenire con una misura straordinaria, confermando che applicherà le correzioni sviluppate per iOS 26.3 anche alla piattaforma iOS 18.

La società continua a raccomandare il passaggio a iOS 26 sui dispositivi compatibili per beneficiare dell'intero spettro di nuove funzioni e miglioramenti di sicurezza. I dispositivi già aggiornati a iOS 26 risultano protetti da settimane. Con il rilascio di iOS 18.7.7, la protezione viene estesa anche a dispositivi che non possono aggiornare a iOS 26 e a dispositivi compatibili ma non aggiornati per scelta dell'utente.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Implicazioni e scenari

⬆ Torna su

La decisione di Apple di estendere le patch a iOS 18 segnala una presa d'atto: la minaccia rappresenta un rischio concreto per un'ampia base utenti. La pubblicazione del codice su GitHub ha ampliato il potenziale bacino di attaccanti, rendendo plausibile un incremento di campagne secondarie.

• Scenario 1: Chi rimane su iOS 18 senza aggiornare rimane esposto alle campagne watering hole già identificate, con rischio concreto di furto dati tramite componenti come GhostBlade.
• Scenario 2: Il backport di sicurezza potrebbe diventare prassi per Apple quando minacce critiche richiedono copertura estesa, modificando l'approccio storico agli aggiornamenti.
• Scenario 3: I fornitori di sorveglianza commerciale potrebbero sviluppare varianti della catena di exploit, spingendo Apple a rafforzare ulteriormente le protezioni kernel e sandbox.

Cosa monitorare

⬆ Torna su

• Eventuali segnali di nuova attività DarkSword post-patch su dispositivi non aggiornati
• Indizi di varianti del kit che sfruttino falle ancora non corrette
• Estensione geografica delle campagne oltre i Paesi già colpiti

Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.

Fonti

⬆ Torna su

• https://www.ilsoftware.it/darksword-exploit-patch-ios-apple/
• https://www.think.it/patch-ios-1877-come-proteggere-iphone-dallexploit-darksword/
• https://www.malwarebytes.com/blog/news/2026/04/apple-expands-darksword-patches-to-ios-18-7-7
• https://www.phonetoday.it/apple-rompe-gli-schemi-patch-di-sicurezza-per-ios-18-contro-lexploit-darksword/
• https://www.smartworld.it/news/iphone-aggiornamento-ios-18-7-7-darksword.html
• https://securityboulevard.com/2026/04/apple-expands-darksword-patches-to-ios-18-7-7/
• https://www.macitynet.it/ios-18-7-7-aggiornamento-sicurezza/