Apple ha reso disponibile iOS 18.7.7 come risposta urgente alla diffusione dell’exploit noto come DarkSword. L’aggiornamento, concretizzatosi il 1 aprile, estende la copertura a una platea molto più ampia rispetto ai piani iniziali e interessa sia iPhone che iPad ancora su iOS 18. La decisione segue la pubblicazione del codice sorgente dell’exploit su GitHub, evento che ha trasformato uno strumento fino a quel momento impiegato in operazioni mirate in una minaccia potenzialmente accessibile a chiunque.
La vulnerabilità sfruttata da DarkSword è in realtà una catena che combina sei falle distinte: CVE-2026-31277, CVE-2026-43529, CVE-2026-20700, CVE-2026-14174, CVE-2026-43510 e CVE-2026-43520. Alcune di queste riguardano componenti critici come JavaScriptCore e il loader dinamico dyld, e possono consentire l’esecuzione di codice arbitrario e l’elevazione dei privilegi fino al kernel se non corrette.
Perché Apple ha esteso il supporto a iOS 18
Normalmente Apple indirizza le patch ai rami software più recenti, ma in questo caso la gravità dell’attacco ha costretto l’azienda a riaprire il supporto per iOS 18. Prima del rilascio di iOS 18.7.7 le patch erano state distribuite progressivamente, ad esempio con iOS 18.6 a luglio 2026 e con successive micro-release, ma la protezione completa (fino alla 18.7.6) era finita per alcuni modelli mantenuti deliberatamente su iOS 18 per motivi di stabilità o compatibilità applicativa. Con il codice di DarkSword ora pubblico, la finestra di rischio è divenuta troppo ampia per ignorarla.
Chi sfruttava DarkSword e come agiva
Secondo analisi di gruppi come Google Threat Intelligence, Lookout e iVerify, il kit è stato utilizzato da vendor commerciali di sorveglianza e da gruppi di spionaggio, tra cui la società turca PARS Defense e i gruppi identificati come UNC6353 e UNC6748.
DarkSword ha permesso l’iniezione di tre famiglie di malware chiamate GhostBlade, GhostKnife e GhostSaber, capaci rispettivamente di sottrarre credenziali, ottenere accesso persistente e eseguire codice remoto per esfiltrare file sensibili.
Dispositivi coperti e come aggiornare
Con il rilascio di iOS 18.7.7 Apple ha ampliato la lista dei dispositivi protetti: oltre agli iPhone XS, XS Max e XR, l’aggiornamento è disponibile su tutte le varianti di iPhone 11, 12, 13, 14, 15 e 16, compresi i modelli SE di seconda e terza generazione e il modello iPhone 16e. Per i tablet la patch interessa iPad mini (da quinta generazione), iPad Air (da terza generazione) e i modelli iPad Pro dal 11″ di prima generazione fino alle versioni più recenti con chip M4, inclusi i dispositivi con M2 e M3.
Procedure consigliate
Chi ha attivato gli aggiornamenti automatici riceverà la patch senza interventi manuali, ma vista la disponibilità pubblica dell’exploit è consigliabile forzare la verifica in Impostazioni > Generali > Aggiornamento software. Se il dispositivo è collegato a Wi‑Fi e alla corrente, l’installazione dovrebbe completarsi durante la ricarica notturna. Per utenti enterprise è fondamentale usare strumenti di MDM per distribuire e monitorare l’aggiornamento su tutta la flotta aziendale.
Protezione oltre l’aggiornamento
Aggiornare rimane la misura più potente, ma non esaurisce le difese: attivare l’autenticazione a due fattori, usare un password manager e ridurre l’esposizione a siti non verificati sono contromisure utili. Apple suggerisce anche la Modalità Lockdown per chi teme attacchi mirati, sebbene disattivi alcune funzionalità per aumentare l’isolamento del sistema.
Che cosa significa per la sicurezza di iOS
La diffusione di DarkSword e la sua pubblicazione su GitHub dimostrano come strumenti sofisticati possano diventare kit riutilizzabili, abbassando la barriera tecnica per attaccanti meno organizzati. Apple investe in protezioni hardware come Pointer Authentication e in tecniche di integrity a memoria, ma finché una parte significativa degli utenti rimane su rami software precedenti gli aggressori manterranno finestre d’attacco.
In sintesi: se il tuo dispositivo è ancora su iOS 18, controlla subito la versione, applica iOS 18.7.7 e adotta pratiche base di igiene digitale per limitare il rischio di infezione da DarkSword.
