La sicurezza degli iPhone è tornata sotto i riflettori per una minaccia che ha dimensioni globali e conseguenze potenzialmente devastanti. I ricercatori di Google hanno identificato DarkSword, una catena di exploit che sfrutta sei vulnerabilità in iOS e Safari per infettare i dispositivi Apple con malware sofisticati. Non si tratta di un attacco teorico o di un allarme esagerato: DarkSword è attivo dalla fine dello scorso anno ed è già stato utilizzato in campagne mirate in Arabia Saudita, Turchia, Malesia e Ucraina. La pericolosità di questo exploit risiede nella sua semplicità d’esecuzione. Non servono azioni complesse da parte della vittima, né l’installazione di app sospette o il click su allegati email. Basta visitare un sito web malevolo o compromesso con un iPhone vulnerabile per essere infettati. Si tratta di quello che nel gergo della cybersicurezza viene chiamato drive-by attack: un’infezione silenziosa che avviene semplicemente navigando nel posto sbagliato al momento sbagliato.
Le versioni di iOS colpite sono quelle comprese tra la 18.4 e la 18.7, un range piuttosto ampio che ha esposto milioni di utenti in tutto il mondo. La scoperta conferma, ancora una volta, quanto sia cruciale mantenere aggiornato il proprio sistema operativo. Apple ha già rilasciato patch di sicurezza che risolvono le vulnerabilità sfruttate da DarkSword, inclusa la CVE-2026-20700, ma il problema resta per chi ritarda gli aggiornamenti o utilizza dispositivi che non ricevono più supporto software. Chi sta dietro DarkSword? I ricercatori hanno identificato molteplici attori che utilizzano questo strumento, sia aziende di spyware commerciale sia gruppi sponsorizzati da stati. In Arabia Saudita, gli attaccanti hanno creato un sito clone di Snapchat per attirare le vittime. In Ucraina, sono stati compromessi almeno due siti web locali, tra cui uno governativo, trasformandoli in veicoli di infezione per chiunque li visitasse.
Una volta che l’exploit ha successo, il malware viene eseguito sul dispositivo. Il tipo di software dannoso dipende dall’attaccante, ma nella campagna ucraina i ricercatori hanno documentato l’uso di Ghostblade, uno dei payload più sofisticati mai visti su iOS. Si tratta di un data-stealer scritto in JavaScript che opera con un obiettivo chiaro: rubare tutto il possibile in un’unica sessione e poi sparire senza lasciare tracce. L’elenco dei dati che Ghostblade è in grado di sottrarre è impressionante e spazia praticamente su ogni aspetto della vita digitale di una persona. Il malware raccoglie identificativi univoci del dispositivo, messaggi SMS e iMessage, cronologia delle chiamate, elenco contatti, configurazioni Wi-Fi complete di password, cookie e cronologia di Safari, dati di geolocalizzazione, note, eventi del calendario, dati sanitari provenienti dall’app Salute, foto, file archiviati su iCloud Drive, informazioni sulla SIM, email, lista delle app installate, password salvate e persino la cronologia dei messaggi di Telegram e WhatsApp.
Ma Ghostblade si distingue per un’altra caratteristica particolare: l’interesse specifico per le criptovalute. Il malware cerca attivamente app di exchange tra i più popolari al mondo, come Coinbase, Binance, Kraken, Kucoin, OKX e Mexc, oltre a wallet digitali come Ledger, Trezor, Metamask, Exodus, Uniswap, Phantom e Gnosis Safe. Questa capacità permette agli attaccanti non solo di rubare direttamente fondi, ma anche di costruire profili dettagliati di target finanziaramente interessanti, aprendo la strada a estorsioni o attacchi successivi più mirati. Una delle caratteristiche più insidiose di Ghostblade è la sua natura effimera. Non è progettato per la sorveglianza prolungata, ma per l’acquisizione rapida e massiva di dati. Una volta completata la raccolta, il malware cancella i file temporanei ed elimina se stesso dal dispositivo. Questa strategia rende molto difficile individuare l’infezione: molte vittime potrebbero non scoprire mai di essere state compromesse, almeno finché non cominciano a manifestarsi le conseguenze concrete del furto di dati.
I rischi associati a DarkSword e Ghostblade sono molteplici e concreti. Il furto di dati personali, dalle comunicazioni private alle foto, dai dati sanitari alle credenziali Wi-Fi, rappresenta una violazione totale della privacy. Per chi gestisce criptovalute, il rischio è ancora più alto: non solo furto diretto di fondi, ma anche la creazione di profili dettagliati che identificano target di alto valore per attacchi futuri o ricatti. L’evasione forense rappresenta un altro problema serio. Poiché Ghostblade cancella le proprie tracce dopo l’esfiltrazione dei dati, le indagini diventano estremamente complesse. E considerando che lo stesso kit di exploit viene riutilizzato da diverse organizzazioni, sia commerciali che statali, il numero di campagne e vittime è destinato a crescere nel tempo.
Come proteggersi? La prima e più importante contromisura è aggiornare immediatamente iOS all’ultima versione disponibile per il proprio dispositivo. Apple ha rilasciato correzioni per le vulnerabilità sfruttate da DarkSword, e l’aggiornamento chiude definitivamente la porta a questo specifico vettore di attacco. Per chi ha ragioni concrete di ritenere di essere un potenziale bersaglio di attacchi mirati, come giornalisti, attivisti, diplomatici o persone con accesso a dati sensibili, Apple mette a disposizione la Lockdown Mode. Questa modalità di sicurezza estrema riduce drasticamente la superficie di attacco del dispositivo, limitando funzionalità e rendendo molto più difficile lo sfruttamento di vulnerabilità. Si attiva dalle Impostazioni, nella sezione Privacy e Sicurezza. Va detto che la Lockdown Mode rende l’iPhone significativamente meno comodo da usare, disabilitando numerose funzionalità, ma ha dimostrato efficacia contro attacchi di livello governativo.
Esistono anche altre precauzioni che chiunque può adottare. Utilizzare protezioni anti-malware in tempo reale sul proprio dispositivo può bloccare l’accesso a siti web malevoli. Evitare di seguire link inviati in messaggi non richiesti, specialmente per servizi sensibili come exchange di criptovalute, banking o posta elettronica. Usare content blocker in Safari, come Malwarebytes Browser Guard, può ridurre l’esposizione a contenuti dannosi, anche se non rappresentano una protezione assoluta contro vulnerabilità zero-day. Per chi gestisce criptovalute, il consiglio è spostare gli asset di maggior valore su wallet hardware o dispositivi dedicati, usando i wallet mobili solo per piccole somme. Un password manager con autenticazione forte, insieme all’uso di Face ID o Touch ID, aggiunge un ulteriore livello di protezione. L’autenticazione a più fattori, preferibilmente con chiavi di sicurezza FIDO2 o app dedicate, dovrebbe essere abilitata su tutti gli account finanziari: anche se le password venissero rubate, non sarebbero sufficienti per accedere.
Infine, vale la pena rivedere periodicamente i permessi concessi alle app installate, revocando l’accesso a dati sensibili come posizione, foto, contatti, microfono, fotocamera e informazioni sanitarie quando non strettamente necessario. Ogni permesso in meno è un potenziale dato in meno che un malware può sottrarre. DarkSword rappresenta l’ennesima dimostrazione che nemmeno l’ecosistema chiuso di Apple è immune da minacce sofisticate. La combinazione di sei vulnerabilità in una catena di exploit efficace, l’uso da parte di attori statali e commerciali, e la capacità di compromettere completamente un dispositivo con un semplice click dimostrano quanto il panorama delle minacce digitali sia evoluto. La difesa più efficace resta l’aggiornamento tempestivo del sistema operativo e una consapevolezza costante dei rischi che corriamo ogni volta che navighiamo online.
