Si chiama DarkSword ed è un exploit che sta facendo parlare parecchio chi si occupa di sicurezza mobile. Il problema è serio e riguarda tutti quegli iPhone che girano ancora su iOS 18, quindi non proprio una nicchia: si parla di circa 270 milioni di dispositivi nel mondo. E no, non serve scaricare applicazioni sospette o fare chissà quale manovra azzardata. Basta aprire un link malevolo nel browser per spalancare le porte a una quantità impressionante di dati personali.
A lanciare l’allarme non è stato qualche blog a caccia di clic, ma il Google Threat Intelligence Group, insieme a Lookout e iVerify. Parliamo di nomi pesanti nel campo della cybersicurezza. E c’è un dettaglio che rende tutto ancora più inquietante: DarkSword è già stato utilizzato in attacchi reali, attribuiti a gruppi di hacker filo-governativi russi. Per chi non ha ancora fatto il salto a iOS 26, la questione diventa concreta, subito.
DarkSword è in pratica una catena di exploit progettata per colpire le versioni di iOS 18 dalla 18.4 alla 18.7. I ricercatori hanno scoperto che sfrutta sei vulnerabilità diverse, distribuite tra iOS e Safari, per arrivare al cosiddetto payload finale, ovvero il codice che esegue le azioni dannose sul dispositivo. Una volta dentro, tre famiglie di malware entrano in gioco: GHOSTBLADE, GHOSTKNIFE e GHOSTSABER. Nomi che suonano come film d’azione, ma con conseguenze molto reali.
Cosa rischia chi non aggiorna: dai contatti alle credenziali iCloud
Quando DarkSword riesce a entrare in un iPhone, il livello di accesso ai dati è francamente spaventoso. Secondo i ricercatori, l’exploit può sottrarre contatti, messaggi, credenziali di accesso e vari contenuti legati all’account iCloud. Foto, file archiviati nel cloud, cronologia della posizione: praticamente tutto quello che racconta dove una persona è stata e cosa ha fatto. Un attaccante può ricostruire un profilo dettagliatissimo della vita digitale e fisica del proprietario del dispositivo.
Non si tratta solo di privacy violata. Questo tipo di accesso apre scenari che vanno dal furto di account al ricatto, fino allo spionaggio mirato. Soprattutto quando gli obiettivi sono legati a contesti politici o aziendali sensibili. Le campagne osservate finora hanno colpito utenti in Ucraina, Arabia Saudita, Turchia e Malaysia. Nel caso dell’Arabia Saudita, gli attaccanti hanno costruito un sito a tema Snapchat, apparentemente legittimo ma pieno di link malevoli pronti ad attivare l’exploit.
Apple ha già rilasciato le patch, ma servono solo se si aggiorna
Al momento nessuno è in grado di dire con precisione quanti iPhone siano stati effettivamente compromessi da DarkSword. I ricercatori non hanno numeri certi. Però il rischio resta altissimo per chiunque usi ancora iOS 18, soprattutto per chi tende ad aprire link ricevuti via messaggi, social o email senza pensarci troppo.
Google ha segnalato le vulnerabilità ad Apple nel 2025. L’azienda di Cupertino ha dichiarato di aver corretto le falle principali già lo scorso anno e di aver distribuito un aggiornamento di emergenza la settimana scorsa per i dispositivi più vecchi che non possono installare le versioni più recenti del sistema operativo. Chi è già passato a iOS 26 risulta coperto dalle patch, mentre chi è rimasto su iOS 18 resta esposto finché non procede con l’aggiornamento. Il consiglio dei ricercatori è piuttosto netto: portare il dispositivo alla versione più recente disponibile, senza rimandare per questioni estetiche o per dubbi sull’interfaccia Liquid Glass.
