Apple si trova di fronte a una delle minacce più gravi nella storia dei suoi dispositivi mobili. Un team internazionale di ricercatori di sicurezza ha identificato una campagna di attacchi che sfrutta uno strumento estremamente potente chiamato DarkSword, capace di estrarre tutti i dati da un iPhone semplicemente inducendo l'utente a visitare una pagina web infetta. La notizia più preoccupante è che qualcuno ha reso il toolkit disponibile pubblicamente su GitHub, trasformando quello che era un attacco mirato in una minaccia globale potenzialmente incontrollabile.
DarkSword rappresenta un esempio sofisticato di ingegneria malevola: la sua catena di attacco combina sei vulnerabilità distinte, tre delle quali erano sconosciute ai laboratori di sicurezza quando scoperte. L'exploit inizia nel motore JavaScript di Safari, il JavaScriptCore, dove il malware riesce a eseguire codice dannoso. Da lì esce dalla sandbox di protezione di Apple sfruttando il processore grafico, per poi ottenere accesso totale al dispositivo attraverso una falla critica nel kernel di iOS che permette privilegi di lettura e scrittura illimitati. Particolarmente inquietante è la semplicità del vettore d'attacco: non sono necessari click su link sospetti né installazioni di app. Una visita innocente a un sito compromesso è sufficiente a far partire la catena di exploit.
I ricercatori di iVerify hanno tracciato l'origine della minaccia fino a due siti ucraini compromessi, i cui server erano stati modificati per caricare invisibilmente il codice malevolo attraverso un iframe nascosto. Il server di distribuzione era ubicato in Estonia e, sebbene teoricamente accessibile da qualsiasi luogo, consegnava il payload solo agli indirizzi IP provenienti dall'Ucraina. Questo dettaglio tattico suggerisce che l'attacco era inizialmente indirizzato a una zona geografica specifica, probabilmente correlato ai conflitti regionali in corso.
Una volta che il malware infetta il dispositivo, la portata del furto di dati è straordinaria. DarkSword è in grado di esfiltrare contatti, messaggi SMS e iMessage, cronologie telefoniche complete, password Wi-Fi archiviate nel portachiavi iOS, cronologia di navigazione Safari, appunti, calendario, email, dati GPS di localizzazione e informazioni della scheda SIM. Ancora più preoccupante è la capacità di violare le comunicazioni crittografate: l'implant riesce a estrarre i dati da Telegram e WhatsApp, aggirando la crittografia end-to-end. Il malware include inoltre funzioni specifiche per rubare le credenziali relative a portafogli di criptovalute, colpendo piattaforme come Coinbase, MetaMask, Ledger e Phantom.
Apple ha immediatamente chiuso la vulnerabilità critica, ma il problema rimane di portata massiccia: centinaia di milioni di iPhone in tutto il mondo non hanno ancora installato gli aggiornamenti di sicurezza necessari. La pubblicazione del toolkit su GitHub ha trasformato un attacco coordinato in uno strumento potenzialmente accessibile a chiunque possieda conoscenze di programmazione di base. Gli utenti con dispositivi non aggiornati sono ora esposti a un rischio concreto e immediato, rendendo l'installazione dei patch di sicurezza non più una semplice raccomandazione, ma un'azione urgente e prioritaria.
