Scopri anche

• iOS 26.5 Beta 1: Apple rilascia la prima versione per sviluppatori con novità per Mappe, RCS e interoperabilità UE
• Vulnerabilità critiche in software e firmware Gigabyte: analisi delle falle di sicurezza e aggiornamenti disponibili
• Prompt injection e sicurezza degli agenti AI: la vulnerabilità strutturale delle aziende
• ChatGPT arriva su Apple CarPlay con iOS 26.4: interazione vocale esclusiva
• Apple rilascia patch di sicurezza per iOS 18 contro l'exploit DarkSword
• Samsung distribuisce la patch di sicurezza di marzo 2026 su ampia gamma di dispositivi Galaxy
• DarkSword: l'exploit kit iOS che combina sei vulnerabilità per il controllo silenzioso dei dispositivi
• Vulnerabilità critiche in schede madri e software Gigabyte: milioni di sistemi a rischio
• Vulnerabilità critiche investono l'ecosistema WordPress: oltre 10 milioni di siti esposti a rischi di compromissione
• L'intelligenza artificiale sta trasformando l'app economy: app come infrastruttura invisibile
• Apple Intelligence arriva in Italia con iOS 18.4: tutte le funzionalità
• Telegram sotto attacco: vulnerabilità zero-day, truffe e minacce alla sicurezza
• Samsung rilascia la patch di sicurezza di marzo 2026: corrette 65 vulnerabilità sui dispositivi Galaxy
• Apple rilascia iOS 26.5 Beta 1: ritorna la crittografia RCS e arrivano i Suggested Places
• Vulnerabilità critiche nei router TP-Link: CISA e ricercatori segnalano falle diffuse
• Samsung Galaxy: patch di sicurezza marzo 2026 e roadmap aggiornamenti
• L'intelligenza artificiale ridefinisce economia e lavoro: Apple incassa mentre il mercato si interroga sul futuro
• Tool di hacking DarkSword e Coruna trapelati online: come proteggere gli iPhone dalle vulnerabilità
• Cybersecurity automotive: normative UNECE R155, ISO 21434 e nuove minacce per i veicoli connessi
• iOS 26.4: Apple corregge oltre 35 vulnerabilità e introduce aggiornamenti di sicurezza automatici

Apple rilascia iOS 18.7.7 per contrastare l'exploit kit DarkSword

Apple rilascia iOS 18.7.7 per contrastare l'exploit kit DarkSword

Apple ha ampliato la distribuzione dell'aggiornamento iOS 18.7.7 e iPadOS 18.7.7 a una gamma più ampia di dispositivi per proteggere gli utenti dall'exploit kit noto come DarkSword. La decisione rappresenta una deviazione dalla consueta politica aziendale, che tipicamente vincola gli aggiornamenti di sicurezza all'installazione dell'ultima versione del sistema operativo disponibile. L'intervento mira a coprire sia i dispositivi che non possono eseguire iOS 26, sia quelli compatibili ma lasciati volontariamente su versioni precedenti.

Caratteristiche tecniche dell'exploit kit DarkSword

⬆ Torna su

DarkSword è un exploit kit che concatena sei vulnerabilità distinte identificate come CVE-2025-31277, CVE-2025-43529, CVE-2026-20700, CVE-2025-14174, CVE-2025-43510 e CVE-2025-43520. Le falle interessano componenti chiave del sistema, in particolare il motore WebKit, Safari, il dynamic loader e il kernel. La catena di attacco consente di passare dalla visita di un sito web malevolo alla compromissione completa del dispositivo.

Secondo le analisi condotte da Google Threat Intelligence Group, iVerify e Lookout, la tecnica è stata impiegata in campagne reali rivolte a bersagli in Malesia, Arabia Saudita, Turchia e Ucraina dal luglio 2025. Gli attacchi sfruttano siti legittimi compromessi attraverso tecniche di watering hole: basta caricare una pagina infetta o visualizzare un annuncio pubblicitario malevolo all'interno di Safari per innescare la catena di exploit.

Il kit è diventato più accessibile quando parti del codice sono state pubblicate su GitHub, abbassando la soglia tecnica richiesta per replicare l'attacco e trasformando uno strumento originariamente riservato a operatori sofisticati in una risorsa utilizzabile da una platea più ampia di malintenzionati.

Meccanismi di attacco e malware associati

⬆ Torna su

L'attacco non richiede download espliciti né approvazioni da parte dell'utente. Una volta eseguito, l'exploit può estrarre messaggi (inclusi quelli di app come WhatsApp e Telegram), cronologia di navigazione, dati di geolocalizzazione, foto, note e credenziali per portafogli di criptovalute. Alcuni componenti del kit si eliminano automaticamente al riavvio del dispositivo, rendendo l'analisi post-infezione più complessa.

Le analisi hanno evidenziato l'impiego di diverse famiglie di malware distribuite sfruttando la catena DarkSword. Tra queste figura GhostBlade, un infostealer in JavaScript progettato per operare nel contesto del browser e intercettare dati sensibili e sessioni attive. A supporto opera GhostKnife, che introduce una backdoor persistente nel sistema, e GhostSaber, capace di eseguire codice remoto e orchestrare ulteriori payload.

Proofpoint e Malfors hanno rivelato che l'attore legato alla Russia noto come COLDRIVER (o TA446) ha sfruttato il kit DarkSword per consegnare il malware GHOSTBLADE in attacchi rivolti a enti governativi, think tank, istituzioni accademiche, finanziarie e legali.

Interventi di Apple su più livelli del sistema

⬆ Torna su

Apple ha distribuito correzioni che agiscono lungo tutta la catena dell'attacco. Il primo livello riguarda WebKit: sono stati corretti bug di tipo memory corruption e problemi nel JIT (Just-In-Time compilation) che consentivano lettura e scrittura arbitraria della memoria. Il secondo intervento interessa il sistema di isolamento dei processi, con il rafforzamento dei controlli tra WebContent, processi GPU e altri daemon di sistema, eliminando le condizioni che permettevano il salto tra sandbox.

Il terzo livello coinvolge il kernel, dove le patch hanno corretto vulnerabilità che permettevano l'accesso diretto alla memoria e la manipolazione di strutture critiche. Apple ha potenziato sistemi di sicurezza come i Pointer Authentication Codes, codici che verificano l'integrità dei puntatori in memoria per impedire modifiche malevole, e le protezioni che limitano l'accesso non autorizzato ad aree critiche del sistema.

Parallelamente alle patch, Apple ha implementato misure lato rete e browser: i domini e gli URL utilizzati nelle campagne di attacco sono bloccati direttamente in Safari, riducendo l'esposizione immediata contro attacchi di tipo watering hole.

Estensione della copertura a dispositivi aggiuntivi

⬆ Torna su

L'aggiornamento iOS 18.7.7 è stato inizialmente rilasciato il 24 marzo 2026 per un set ristretto di dispositivi: iPhone XS, iPhone XS Max, iPhone XR e iPad settima generazione. Successivamente, a partire dal 1° aprile 2026, Apple ha abilitato la disponibilità per un numero maggiore di dispositivi, permettendo agli utenti con aggiornamenti automatici attivi di ricevere le protezioni in background.

La build copre dispositivi da iPhone XR fino alle generazioni più recenti come iPhone 16. Anche numerosi modelli di iPad ricevono la patch, inclusi iPad Air con chip M2 e M3 e iPad Pro con architettura M4. Apple ha etichettato la release come critica per la sicurezza e ha iniziato a inviare notifiche sulla schermata di blocco agli utenti con versioni precedenti del sistema operativo.

Un cambiamento nella politica di aggiornamento

⬆ Torna su

Storicamente, Apple ha riservato gli aggiornamenti di sicurezza per versioni datate del sistema operativo esclusivamente ai dispositivi hardware più vecchi, non più in grado di supportare le nuove release principali. La decisione di fornire una patch per iOS 18, ancora eseguito su hardware pienamente compatibile con iOS 26, segna un cambiamento di approccio definito tecnicamente come backporting.

Un portavoce di Apple ha dichiarato che la correzione viene applicata automaticamente a tutti i dispositivi con iOS 18 che hanno abilitato gli aggiornamenti automatici. Gli utenti che gestiscono manualmente gli aggiornamenti possono scaricare il pacchetto tramite Impostazioni > Generali > Aggiornamento software. L'azienda continua a raccomandare il passaggio a iOS 26 per beneficiare dell'intero spettro di protezioni.

Protezioni aggiuntive e raccomandazioni

⬆ Torna su

La Modalità isolamento, introdotta nelle versioni precedenti del sistema, disabilita automaticamente alcune funzionalità del browser e del sistema per ridurre la superficie attaccabile. I dati indicano che i dispositivi con questa modalità attiva non risultavano vulnerabili alla catena DarkSword. Per gli utenti considerati potenziali bersagli, come giornalisti e attivisti, l'attivazione di questa funzione è consigliata.

Oltre all'installazione della patch, le pratiche consigliate includono l'evitare siti non affidabili, mantenere backup aggiornati e verificare che gli aggiornamenti automatici siano attivi. Anche se alcuni componenti di DarkSword non sono persistenti e scompaiono al riavvio, l'applicazione della patch impedisce che il dispositivo venga sfruttato nuovamente.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Implicazioni e scenari

⬆ Torna su

La decisione di Apple di estendere le patch a dispositivi compatibili con versioni più recenti del sistema operativo rappresenta un cambio di paradigma che potrebbe influenzare le future politiche di aggiornamento. La pubblicazione del codice su GitHub amplia potenzialmente la base di attori in grado di replicare l'attacco.

• Scenario 1: Apple potrebbe mantenere questo approccio di backporting per future vulnerabilità critiche, aumentando la protezione degli utenti che rimangono su versioni precedenti.
• Scenario 2: La disponibilità del codice su GitHub potrebbe portare all'emergere di varianti dell'exploit kit o nuove campagne in regioni non ancora interessate.
• Scenario 3: Attori simili a COLDRIVER potrebbero sviluppare nuove catene di exploit per superare le protezioni introdotte.

Cosa monitorare

⬆ Torna su

• Eventuali estensioni della copertura della patch a modelli di dispositivo aggiuntivi.
• Segnalazioni di nuove campagne che sfruttano DarkSword o varianti derivate.
• Indizi su un cambiamento strutturale nella strategia di rilascio degli aggiornamenti di sicurezza da parte di Apple.

Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.

Fonti

⬆ Torna su

• https://www.ilsoftware.it/darksword-exploit-patch-ios-apple/
• https://www.think.it/patch-ios-1877-come-proteggere-iphone-dallexploit-darksword/
• https://www.malwarebytes.com/blog/news/2026/04/apple-expands-darksword-patches-to-ios-18-7-7
• https://thehackernews.com/2026/04/apple-expands-ios-1877-update-to-more.html
• https://www.phonetoday.it/apple-rompe-gli-schemi-patch-di-sicurezza-per-ios-18-contro-lexploit-darksword/
• https://www.smartworld.it/news/iphone-aggiornamento-ios-18-7-7-darksword.html
• https://www.macitynet.it/ios-18-7-7-aggiornamento-sicurezza/