Apple rilascia iOS 18.7.7 per bloccare l'exploit DarkSword: analisi della minaccia
Apple distribuisce un aggiornamento di sicurezza straordinario per iOS 18 contro DarkSword, un kit di exploit che combina sei vulnerabilità per compromettere i…
Contenuto
Scopri anche
- Prompt injection e sicurezza degli agenti AI: la vulnerabilità strutturale delle aziende
- Apple rilascia iOS 18.7.7 per bloccare l'exploit DarkSword
- Apple rilascia iOS 18.7.7 per contrastare l'exploit kit DarkSword
- iOS 26.5 Beta 1: Apple rilascia la prima versione per sviluppatori con novità per Mappe, RCS e interoperabilità UE
- Vulnerabilità critiche in schede madri e software Gigabyte: milioni di sistemi a rischio
- ChatGPT arriva su Apple CarPlay con iOS 26.4: interazione vocale esclusiva
- Vulnerabilità critiche in software e firmware Gigabyte: analisi delle falle di sicurezza e aggiornamenti disponibili
- Apple rilascia patch di sicurezza per iOS 18 contro l'exploit DarkSword
- Samsung distribuisce la patch di sicurezza di marzo 2026 su ampia gamma di dispositivi Galaxy
- Claude Code: il codice sorgente esposto per errore nel pacchetto npm
- Apple Intelligence arriva in Italia con iOS 18.4: tutte le funzionalità
- DarkSword: l'exploit kit iOS che combina sei vulnerabilità per il controllo silenzioso dei dispositivi
- Vulnerabilità critiche investono l'ecosistema WordPress: oltre 10 milioni di siti esposti a rischi di compromissione
- L'intelligenza artificiale sta trasformando l'app economy: app come infrastruttura invisibile
- Apple rilascia iOS 26.5 Beta 1: ritorna la crittografia RCS e arrivano i Suggested Places
- Telegram sotto attacco: vulnerabilità zero-day, truffe e minacce alla sicurezza
- Samsung rilascia la patch di sicurezza di marzo 2026: corrette 65 vulnerabilità sui dispositivi Galaxy
- Vulnerabilità critiche nei router TP-Link: CISA e ricercatori segnalano falle diffuse
- Samsung Galaxy: patch di sicurezza marzo 2026 e roadmap aggiornamenti
- L'intelligenza artificiale ridefinisce economia e lavoro: Apple incassa mentre il mercato si interroga sul futuro
Apple interviene su iOS 18 con patch straordinaria contro l'exploit DarkSword
- Cos'è DarkSword e come funziona la catena di attacco
- Il vettore di attacco: WebKit e l'escalation ai privilegi kernel
- Malware distribuiti tramite DarkSword: GhostBlade, GhostKnife e GhostSaber
- Diffusione del codice su GitHub e campagne mirate
- La mossa inedita di Apple: backporting su iOS 18
- Dispositivi coperti dalla patch
- Lockdown Mode e misure di difesa aggiuntive
- Come installare l'aggiornamento
- Le implicazioni per la strategia di sicurezza Apple
- Implicazioni e scenari
- Cosa monitorare
- Fonti
Apple ha riaperto la distribuzione degli aggiornamenti di sicurezza per una vasta gamma di dispositivi ancora fermi a iOS 18, una decisione motivata da una minaccia concreta e già sfruttata sul campo. La versione 18.7.7 segna una deviazione dalla consueta politica aziendale: proteggere anche chi non ha effettuato il passaggio verso versioni più recenti del sistema operativo, come iOS 26. Il motivo principale è legato al kit di exploit denominato DarkSword, analizzato da gruppi di ricerca tra cui Lookout, iVerify e Google Threat Intelligence.
Cos'è DarkSword e come funziona la catena di attacco
⬆ Torna suDarkSword è un kit di exploit che combina sei vulnerabilità distinte identificate come CVE-2025-31277, CVE-2025-43529, CVE-2026-20700, CVE-2025-14174, CVE-2025-43510 e CVE-2025-43520. Le falle interessano componenti chiave del sistema, in particolare il motore WebKit, Safari, il dynamic loader e sottosistemi di gestione della memoria. La catena di attacco tipica porta all'esecuzione di codice arbitrario tramite contenuti web malevoli, spesso veicolati attraverso pagine compromesse o campagne phishing mirate.
A differenza delle classiche catene di exploit iOS, spesso riservate a operazioni di sorveglianza altamente mirate, DarkSword mostra una diffusione più ampia e una struttura modulare che ne facilita il riutilizzo. L'attacco è di tipo web-based: la semplice apertura di una pagina infetta può consentire agli attaccanti di eseguire codice malevolo senza che l'utente debba scaricare app o approvare installazioni.
Il vettore di attacco: WebKit e l'escalation ai privilegi kernel
⬆ Torna suIl primo livello dell'attacco riguarda WebKit. Le patch hanno corretto bug di tipo memory corruption e problemi nel JIT (Just-In-Time compilation) che consentivano lettura e scrittura arbitraria della memoria. Il secondo intervento interessa il sistema di isolamento dei processi. Apple ha rafforzato i controlli tra WebContent, processi GPU e altri daemon di sistema, eliminando le condizioni che permettevano il salto tra sandbox.
Il terzo livello coinvolge il kernel. Le vulnerabilità corrette permettevano l'accesso diretto alla memoria e la manipolazione di strutture critiche. Apple ha potenziato sistemi di sicurezza come i Pointer Authentication Codes, codici che verificano l'integrità dei puntatori in memoria per impedire modifiche malevole. Anche le protezioni che limitano l'accesso non autorizzato a determinate aree critiche del sistema sono state rinforzate, dopo che gli exploit erano riusciti ad aggirarle.
Malware distribuiti tramite DarkSword: GhostBlade, GhostKnife e GhostSaber
⬆ Torna suLe analisi condotte evidenziano l'impiego di più famiglie di malware distribuite sfruttando la catena di vulnerabilità DarkSword. Tra queste figura GhostBlade, un infostealer in JavaScript progettato per operare nel contesto del browser: intercetta dati sensibili, sessioni attive e credenziali. A supporto si trovano GhostKnife, che introduce una backdoor persistente nel sistema, e GhostSaber, capace di eseguire codice remoto e orchestrare ulteriori payload.
La combinazione di queste componenti consente agli attaccanti di costruire catene di compromissione complete: accesso iniziale via browser, escalation dei privilegi e persistenza. Tra le informazioni rubate figurano messaggi di app come WhatsApp e Telegram, cronologia di navigazione, dati di geolocalizzazione, foto, note e credenziali per portafogli di criptovalute. Il codice JavaScript malevolo sfrutta vulnerabilità di tipo use-after-free e corruzione della memoria per uscire dalla sandbox del browser e interagire con i livelli più profondi del sistema operativo.
Diffusione del codice su GitHub e campagne mirate
⬆ Torna suLa minaccia ha guadagnato rapidità quando parti del codice sono finite su piattaforme pubbliche come GitHub, abbassando la soglia tecnica richiesta per replicare l'attacco. Secondo le analisi del Google Threat Intelligence Group, la tecnica è stata impiegata in campagne reali rivolte a bersagli in Malesia, Arabia Saudita, Turchia e Ucraina, segnalando un impiego anche da parte di attori sponsorizzati da stati o fornitori di sorveglianza commerciale.
TechCrunch ha localizzato l'impiego di DarkSword in attacchi mirati. Gli esperti di sicurezza avvertono che, essendo il toolkit stato reso pubblico online, chiunque potrebbe utilizzarlo, ampliando notevolmente il rischio anche per utenti comuni. Da vulnerabilità limitata a strumento impiegabile da operatori meno esperti, la minaccia è diventata un rischio operativo immediato.
La mossa inedita di Apple: backporting su iOS 18
⬆ Torna suLa decisione di Apple di fornire una patch per iOS 18 rappresenta una significativa deviazione dalla consueta politica aziendale, che tipicamente vincola gli utenti all'installazione dell'ultimo sistema operativo disponibile per ricevere le protezioni più aggiornate. L'intervento, definito tecnicamente come backporting, mira a proteggere milioni di utenti che scelgono di non aggiornare il proprio iPhone all'ultima release software.
Inizialmente l'aggiornamento iOS 18.7.7 era destinato a un piccolo insieme di dispositivi più vecchi (iPhone XS, XS Max, XR e iPad settima generazione), non compatibili con iOS 26. I dispositivi più recenti che avevano la possibilità di aggiornarsi a iOS 26 avevano smesso di ricevere aggiornamenti per la versione 18.x, lasciando un ampio gruppo di utenti esposti su build vulnerabili. Apple ha ampliato la distribuzione estesa a partire dal 1° aprile 2026, permettendo agli utenti con aggiornamenti automatici attivi di ricevere la protezione in background.
Dispositivi coperti dalla patch
⬆ Torna suL'aggiornamento iOS 18.7.7 copre un ampio spettro di dispositivi, dagli iPhone XR fino alle generazioni più recenti come iPhone 16. Anche numerosi modelli di iPad ricevono la patch, inclusi iPad Air con chip M2 e M3 e iPad Pro con architettura M4. La correzione è disponibile per tutti gli iPhone che eseguono ancora iOS 18, indipendentemente dal fatto che il dispositivo possa supportare iOS 26 o meno.
Apple ha chiarito che i dispositivi aggiornati a iOS 26 erano già protetti da settimane. Tuttavia, molti utenti utilizzano ancora versioni precedenti, sia per incompatibilità hardware sia per scelta personale. In particolare, alcuni hanno evitato l'aggiornamento a iOS 26 a causa della nuova interfaccia "liquid glass", che ha ricevuto critiche.
Lockdown Mode e misure di difesa aggiuntive
⬆ Torna suUn ruolo importante lo gioca la Modalità isolamento (Lockdown Mode), introdotta nelle versioni precedenti. I dati indicano che dispositivi con questa modalità attiva non risultavano vulnerabili alla catena DarkSword. La modalità riduce la superficie attaccabile disabilitando automaticamente alcune funzionalità del browser e del sistema. Per utenti potenzialmente bersaglio di attacchi, come giornalisti, attivisti o persone con accesso a dati sensibili, l'attivazione è consigliata, sebbene renda il dispositivo meno user-friendly.
Parallelamente alle patch, Apple ha implementato misure lato rete e browser. I domini e gli URL utilizzati nelle campagne di attacco sono bloccati direttamente in Safari, riducendo l'esposizione immediata, soprattutto contro attacchi di tipo watering hole, dove siti legittimi compromessi distribuiscono codice malevolo attraverso iframe o script nascosti.
Come installare l'aggiornamento
⬆ Torna suGli utenti che hanno attivato gli aggiornamenti automatici dovrebbero ricevere il nuovo software senza interventi manuali. Per procedere manualmente, è possibile accedere a Impostazioni > Generali > Aggiornamento software. Apple ha etichettato la release come critica per la sicurezza. Chi preferisce restare su iOS 18 può utilizzare l'opzione "Disponibile anche" in Aggiornamento software e selezionare esplicitamente iOS 18.7.7 invece di iOS 26.4.
Apple continua a raccomandare il passaggio a iOS 26 per beneficiare dell'intero spettro di nuove funzioni e miglioramenti di sicurezza. Tuttavia, con questa mossa offre una protezione concreta anche a chi decide di restare su una versione precedente del sistema operativo.
Le implicazioni per la strategia di sicurezza Apple
⬆ Torna suIl modello di attacco mostrato da DarkSword evidenzia un limite: la complessità delle exploit chain multi-vulnerabilità. Apple sta spostando l'attenzione verso tecniche di mitigazione generiche: rafforzamento delle protezioni hardware, riduzione delle superfici esposte e aggiornamenti più rapidi anche per versioni meno recenti del sistema. L'obiettivo non è solo correggere vulnerabilità specifiche, ma rendere più difficile costruire catene complete come quella sfruttata da DarkSword.
Oltre a correggere le vulnerabilità specifiche, Apple ha migliorato difese già presenti in iOS. Il sistema di sandboxing è stato ulteriormente isolato, riducendo le superfici di attacco tra processi. Sono stati irrigiditi i controlli sulla memoria, limitando l'efficacia delle primitive di read/write arbitrario. Dopo aver riconosciuto che anche i suoi clienti possono essere vittime di spyware, Apple ha adottato un approccio più proattivo nel notificare gli utenti presi di mira.
Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.
Implicazioni e scenari
⬆ Torna suLa pubblicazione del codice su GitHub ha abbassato la soglia tecnica per l'impiego di DarkSword, trasformando uno strumento originariamente riservato in una minaccia accessibile a un numero crescente di attaccanti. La decisione di Apple di effettuare il backporting su iOS 18 segnala un cambio di approccio nella gestione delle vulnerabilità critiche.
- Scenario 1: la disponibilità pubblica del toolkit potrebbe favorire la nascita di nuove varianti o campagne non mirate, estendendo il rischio oltre i bersagli originali.
- Scenario 2: il backporting su iOS 18 potrebbe diventare una pratica ricorrente per vulnerabilità particolarmente gravi, modificando la politica storica di Apple.
- Scenario 3: l'attivazione della Modalità isolamento potrebbe aumentare tra categorie a rischio come giornalisti e attivisti, con impatti sull'usabilità.
Cosa monitorare
⬆ Torna su- Eventuali nuovi aggiornamenti di sicurezza per versioni precedenti di iOS.
- Segnalazioni di campagne che sfruttano varianti di DarkSword o malware correlati.
- L'adozione della Modalità isolamento e il suo impatto sull'esperienza utente.
Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.
Fonti
⬆ Torna su- https://www.ilsoftware.it/darksword-exploit-patch-ios-apple/
- https://www.fastweb.it/fastweb-plus/digital-dev-security/iphone-a-rischio-apple-rilascia-aggiornamento-di-sicurezza-per-ios-18/
- https://www.think.it/patch-ios-1877-come-proteggere-iphone-dallexploit-darksword/
- https://www.malwarebytes.com/blog/news/2026/04/apple-expands-darksword-patches-to-ios-18-7-7
- https://www.cybersecitalia.it/darksword-apple-rilascia-una-patch-di-sicurezza-anche-per-iphone-e-ipad-meno-recenti/62012/
- https://www.smartworld.it/news/iphone-aggiornamento-ios-18-7-7-darksword.html
- https://www.phonetoday.it/apple-rompe-gli-schemi-patch-di-sicurezza-per-ios-18-contro-lexploit-darksword/
In breve
- cybersecurity
- apple
- iphone
- exploit