Tool di hacking DarkSword e Coruna trapelati online: come proteggere gli iPhone dalle vulnerabilità
Kit di exploit avanzati accessibili pubblicamente su GitHub. Ecco come verificare se il dispositivo è compromesso e quali misure adottare per la sicurezza.
Contenuto
Scopri anche
- Data poisoning: quando 250 documenti bastano per compromettere un modello AI
- iPhone e sicurezza: come riconoscere i segnali di un dispositivo compromesso e proteggersi dagli attacchi
- DarkSword: l'exploit kit iOS che minaccia milioni di iPhone viene reso pubblico su GitHub
- Vulnerabilità CVE-2026-0628 in Chrome: il pannello Gemini a rischio di exploit
- DarkSword: catena di exploit sfrutta sei vulnerabilità per compromettere iPhone
- Tensioni geopolitiche e minacce informatiche: i rischi emergenti per i mercati finanziari europei
- Apple avverte gli utenti: aggiornare subito iPhone contro exploit DarkSword e Coruna
- DarkSword, nuova catena di exploit iOS: vulnerabilità corrette da Apple
- Vulnerabilità zero-day in SharePoint e Zimbra: attacchi globali e mitigazione
- Apple invita ad aggiornare iOS: exploit kit DarkSword e Coruna minacciano milioni di dispositivi
- iOS 26.4: Apple corregge oltre 35 vulnerabilità e introduce aggiornamenti di sicurezza automatici
- Apple conferma evento 4 marzo 2026: oltre mezza dozzina di nuovi dispositivi attesi
- Apple rilascia aggiornamenti di sicurezza critici per iPhone e iPad: mitigato l'exploit Coruna
- La Cyber Kill Chain e le nuove frontiere della sicurezza cloud: strategie di difesa nell'era delle minacce accelerate
- Vulnerabilità critiche nei router TP-Link: analisi tecnica e misure di mitigazione
- Apple lancia Background Security Improvements: aggiornamenti automatici per correggere vulnerabilità senza riavvii
- DarkSword: nuovo exploit kit iOS colpisce milioni di iPhone con catena di vulnerabilità zero-day
- Cybersecurity in Italia 2025: attacchi ogni 5 minuti, l'AI diventa arma a doppio taglio
- Apple rilascia il primo Background Security Improvement per iOS, iPadOS e macOS Tahoe
- Vulnerabilità zero-day e malware colpiscono i browser Chromium: analisi delle minacce e confronto tra Chrome ed Edge
Tool di hacking DarkSword e Coruna trapelati online: come proteggere gli iPhone dalle vulnerabilità
- Le vulnerabilità colpite e i dispositivi a rischio
- I segnali di compromissione dell'iPhone
- Camera, microfono e app sospette
- Profilo di gestione dispositivo e jailbreak
- Apple ID compromesso: segnali e azioni
- Le misure di protezione
- Autenticazione e password
- Ripristino e azioni correttive
- Rischi specifici: spyware Pegasus e attacchi zero-day
- Implicazioni e scenari
- Cosa monitorare
- Fonti
Un tool di hacking avanzato è stato pubblicato online il 23 marzo 2026 su GitHub, rendendo accessibile a chiunque parte del kit DarkSword, strumento fino a oggi utilizzato da spie governative e cybercriminali per colpire iPhone non aggiornati. La notizia è stata riportata da TechCrunch, che ha analizzato il codice con i ricercatori di iVerify e Lookout. Gli iPhone aggiornati all'ultima versione di iOS sono già protetti, mentre il rischio riguarda chi ha ancora un dispositivo fermo a versioni precedenti del sistema operativo.
Coruna e DarkSword sono due kit di exploit che sfruttano catene di vulnerabilità di iOS per accedere ai dati del dispositivo colpito: messaggi, cronologia browser, dati di localizzazione e portafogli di criptovalute. L'attacco avviene tramite siti web compromessi o pagine false, senza che la vittima debba compiere azioni specifiche se non visitare la pagina sbagliata. I ricercatori di Lookout hanno definito il codice pubblicato su GitHub "essenzialmente plug-and-play", scritto in HTML e JavaScript e configurabile anche senza competenze avanzate.
Le vulnerabilità colpite e i dispositivi a rischio
⬆ Torna suCoruna colpisce dispositivi con iOS dalla versione 13 fino alla 17.2.1. DarkSword sfrutta vulnerabilità in iOS 18.4 e 18.7. Parti di Coruna sarebbero state sviluppate da Trenchant, una divisione del contractor della difesa USA L3Harris, per uso governativo. Il codice ha poi raggiunto spie russe e cybercriminali cinesi attraverso il mercato underground degli exploit, un meccanismo già osservato nel 2017 con l'exploit NSA alla base di WannaCry.
Apple ha corretto le vulnerabilità sfruttate da entrambi i kit nelle versioni più recenti di iOS. Chi è aggiornato a iOS 26.3.1 o iOS 18.7.6 è protetto. Il problema risiede nella dimensione del parco dispositivi non aggiornati: quasi un utente su tre non esegue ancora iOS 26, su oltre 2,5 miliardi di dispositivi attivi nel mondo. Su iPhone 17 con iOS 26, Apple ha introdotto Memory Integrity Enforcement, una funzione progettata per bloccare i bug di corruzione della memoria su cui DarkSword fa leva. I dispositivi più vecchi, anche se aggiornati, non dispongono di questa protezione hardware, creando di fatto due classi di utenti con superfici di attacco diverse.
I segnali di compromissione dell'iPhone
⬆ Torna suRiconoscere se un iPhone è stato compromesso richiede l'osservazione di più indicatori combinati. Un segnale riguarda le anomalie nella durata della batteria: se il telefono si scarica velocemente anche quando non viene utilizzato, potrebbe ospitare software spia che opera costantemente in background per trasmettere dati a terzi. Analogamente, un aumento insolito del consumo di dati cellulare può indicare la trasmissione di grandi quantità di informazioni come video, foto o messaggi, tipica degli spyware.
La temperatura anomala del dispositivo rappresenta un altro campanello d'allarme. Se il telefono si surriscalda senza motivo apparente, potrebbe derivare dall'attività continua di spyware che sfrutta molte risorse del dispositivo. Anche un rallentamento improvviso delle prestazioni o crash frequenti possono indicare processi non autorizzati in esecuzione.
Se durante una chiamata si sentono suoni anomali come interferenze o voci lontane, è possibile che qualcuno stia intercettando la conversazione. Attività insolite del telefono quando non è in uso, come riavvii spontanei o lo schermo che si illumina senza ragione in standby, possono segnalare la presenza di app malevole che controllano il dispositivo da remoto. La ricezione di messaggi insoliti pieni di simboli o codici potrebbe indicare che un software spia sta ricevendo comandi remoti tramite SMS codificati.
Camera, microfono e app sospette
⬆ Torna suL'attivazione non richiesta di fotocamera e microfono potrebbe tradire la presenza di software spia. Su iPhone, quando la fotocamera o il microfono vengono attivati compare un indicatore verde o arancione: se questo segnale appare anche quando non si utilizzano app che richiedono l'accesso a questi componenti, potrebbero essere sotto il controllo di un criminale informatico. Alcune app spia si nascondono con nomi generici come "Aggiornamento di Sistema" ma richiedono permessi superflui rispetto alla funzione dichiarata, come l'accesso alla fotocamera o al microfono.
Controllare la lista delle applicazioni installate permette di individuare app non riconosciute. Su iPhone, la procedura prevede di scorrere la Libreria App e verificare eventuali programmi non ricordati. Un'app che compare nell'elenco e non si ricorda di aver scaricato potrebbe essere stata installata da un hacker. Inoltre, visualizzare un numero elevato di pop-up o essere reindirizzati verso siti web sospetti può indicare la presenza di adware o malware.
Profilo di gestione dispositivo e jailbreak
⬆ Torna suLa presenza di profili di gestione del dispositivo non richiesti è un ulteriore elemento da verificare. Su iPhone, si può controllare andando in Impostazioni > Generali > VPN e gestione dispositivo. I profili di configurazione, detti anche MDM, modificano impostazioni specifiche in iOS come sicurezza, uso delle app e impostazioni di rete. Sebbene vengano utilizzati normalmente su dispositivi aziendali, possono essere impiegati anche per scopi malevoli.
Un iPhone con jailbreak rimuove le protezioni integrate di Apple e permette di installare app da fonti esterne all'App Store, aprendo la porta a malware di vario tipo. iOS utilizza un metodo di sicurezza chiamato sandboxing che mantiene le app isolate tra loro e dal resto del sistema: anche se un'app viene compromessa, non può solitamente affectare il resto del telefono. Il jailbreak disabilita queste protezioni.
Apple ID compromesso: segnali e azioni
⬆ Torna suSe non si riesce ad accedere al proprio account, potrebbe significare che un hacker ha cambiato la password dopo aver ottenuto l'accesso per bloccare il legittimo proprietario. Questa pratica è nota come frode di acquisizione dell'account. Un altro segnale è ricevere un'email che informa che l'ID Apple è stato utilizzato per accedere a un altro dispositivo, con data, ora e tipo di dispositivo specificati. Se non si ha effettuato quel login, qualcun altro ha utilizzato le credenziali.
Addebiti sconosciuti su App Store o iTunes possono indicare che qualcun altro ha accesso all'account. Se si utilizza un altro servizio di streaming ma si nota un addebito su iTunes, l'acquisto non è stato effettuato dal proprietario dell'account. Anche la presenza di foto, video o messaggi sconosciuti nelle proprie app può indicare che qualcun altro ha accesso all'ID Apple e alle informazioni private.
Le misure di protezione
⬆ Torna suLa misura più efficace è aggiornare il sistema operativo il prima possibile. Chi non ha ancora installato iOS 26.3.1 o iOS 18.7.6 può farlo accedendo a Impostazioni > Generali > Aggiornamento software. Per chi non può aggiornare, Apple conferma che la Lockdown Mode, disponibile da iOS 16, blocca specificamente questi attacchi. Questa modalità è pensata per chi si considera un potenziale bersaglio: limita alcune funzionalità ma aumenta la protezione. Non è mai stato documentato un caso in cui sia stata aggirata.
Un comportamento prudente riduce il rischio: evitare link di provenienza sconosciuta e non visitare siti non verificati. La protezione principale rimane l'aggiornamento del sistema operativo, che elimina le vulnerabilità alla base degli exploit senza richiedere altre azioni. Apple aggiorna costantemente iOS per correggere bug e patchare vulnerabilità di sicurezza: quando esce una nuova versione, solitamente include aggiornamenti di sicurezza che proteggono dalle minacce appena scoperte.
Autenticazione e password
⬆ Torna suL'autenticazione a due fattori (2FA) aggiunge un secondo livello di protezione. Impedisce l'accesso non autorizzato anche se le credenziali di login sono trapelate o oggetto di phishing: anche chi possiede la password deve verificare il login tramite un codice di verifica o un altro metodo. Per abilitare la 2FA su iPhone o iPad, si accede a Impostazioni > [nome] > Accesso e sicurezza > Attiva l'autenticazione a due fattori.
Utilizzare password complesse e uniche rappresenta un accorgimento fondamentale. Una password efficace deve essere lunga almeno 16 caratteri e contenere una combinazione casuale di lettere maiuscole e minuscole, numeri e simboli. I gestori di password aiutano a creare password complesse senza doverle ricordare. È inoltre consigliabile non riutilizzare la stessa password su più account.
Ripristino e azioni correttive
⬆ Torna suSe si sospetta che il dispositivo sia stato hackerato, è possibile rimuovere i dispositivi non riconosciuti dall'ID Apple. Su iPhone e iPad si accede a Impostazioni > [nome], si scorre verso il basso per selezionare il dispositivo, si tocca Rimuovi dall'account e si conferma. Se le misure adottate non risolvono il problema, il ripristino alle condizioni di fabbrica rappresenta l'ultima soluzione. Prima di procedere è consigliabile effettuare un backup dei dati come foto e contatti. Su iPhone si seleziona Cancella contenuto e impostazioni.
Per segnalare frodi ad Apple, si può contattare il supporto tramite email all'indirizzo [email protected], telefonicamente al numero 800-275-2273, o di persona presso un Apple Store. Apple non contatta gli utenti direttamente a meno che non siano stati prima contattati: se si riceve una chiamata che afferma di provenire da Apple senza averla richiesta, si tratta di una truffa da evitare.
Rischi specifici: spyware Pegasus e attacchi zero-day
⬆ Torna suLo spyware Pegasus di NSO Group ha attirato l'attenzione per le accuse di uso nella sorveglianza globale di giornalisti, avvocati e attivisti. Creato dal gruppo israeliano NSO presumibilmente per assistere i dipartimenti antiterrorismo, sfruttava vulnerabilità in iOS ora corrette negli aggiornamenti recenti. Pegasus si affida a exploit zero-day per accedere ai dispositivi: questi attacchi prendono il nome dal fatto che gli sviluppatori hanno avuto zero giorni per correggere le vulnerabilità. Gli attacchi zero-day sono estremamente rari e quasi esclusivamente impiegati in attacchi mirati tra hacker, agenzie di intelligence, governi e grandi corporazioni.
Per l'utente medio, il rischio di essere preso di mira da tali attacchi è relativamente basso. Tuttavia, mantenere buone pratiche di cybersecurity e restare vigili protegge dispositivi e informazioni personali. Aggiornare il telefono è una delle misure più semplici ed efficaci: gli aggiornamenti iOS includono correzioni alle vulnerabilità di sicurezza che aiutano a prevenire minacce emergenti.
Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.
Implicazioni e scenari
⬆ Torna suLa pubblicazione su GitHub di codice definito "essenzialmente plug-and-play" riduce significativamente la barriera tecnica per l'accesso a strumenti prima riservati a spie governative. Questo potrebbe tradursi in un aumento degli attacchi verso il parco dispositivi ancora fermo a versioni precedenti di iOS, stimato in quasi un terzo degli utenti globali.
- Scenario 1: Attori con minori competenze tecniche potrebbero sfruttare il codice trapelato per campagne mirate, aumentando il volume complessivo delle minacce contro dispositivi non aggiornati.
- Scenario 2: La divisione tra dispositivi con protezioni hardware moderne come Memory Integrity Enforcement e modelli più datati potrebbe creare due classi di utenti con livelli di esposizione diversi.
- Scenario 3: Il percorso del codice dal contractor americano fino al mercato underground richiama dinamiche già osservate con WannaCry, dove exploit governativi sono diventati strumenti di attacchi diffusisi su scala globale.
Cosa monitorare
⬆ Torna su- Comunicazioni di Apple su eventuali nuove patch di sicurezza per versioni intermedie di iOS.
- Segnali di compromissione come consumo anomalo di batteria, surriscaldimento o attività inspiegabili del dispositivo.
- Segnalazioni di nuovi attacchi che sfruttino il codice pubblicato, particolarmente verso dispositivi aziendali o profili considerati bersagli ad alto rischio.
Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.
Fonti
⬆ Torna su- https://www.fastweb.it/fastweb-plus/digital-dev-security/iphone-a-rischio-per-tool-hacker-trapelato-online-cosa-fare-subito/
- https://surfshark.com/blog/how-to-check-for-viruses-on-iphone
- https://www.wizcase.com/blog/can-iphone-be-hacked-what-to-do/
- https://www.wikihow.com/Tell-if-Your-iPhone-Is-Hacked
- https://www.safetydetectives.com/blog/can-iphones-be-hacked/
- https://www.geopop.it/come-capire-se-il-nostro-telefono-e-stato-hackerato-i-9-segnali-da-tenere-docchio/
- https://www.keepersecurity.com/blog/it/2024/07/25/my-apple-id-was-hacked-what-should-i-do/
In breve
- cybersecurity
- iphone
- malware
- phishing