Una nuova versione dello spyware DarkSword è finita su GitHub, a disposizione di chiunque voglia scaricarla. E no, non si tratta di un proof of concept accademico o di un progetto sperimentale innocuo. Si parla di un tool che è già stato usato in campagne di attacco reali contro utenti iPhone, e che adesso potrebbe diventare molto più pericoloso proprio perché alla portata di tutti.
La notizia ha messo in allarme diversi esperti di sicurezza. Il timore principale è semplice da capire: uno strumento che fino a poco tempo fa circolava solo in operazioni mirate e gestite da gruppi organizzati adesso può essere utilizzato anche da chi non ha competenze tecniche particolarmente sofisticate. Il codice trapelato permetterebbe di colpire con estrema facilità i dispositivi Apple che non sono stati aggiornati all’ultima versione del sistema operativo, cioè iOS 26. E qui sta il problema vero: una fetta enorme di utenti continua a utilizzare versioni precedenti.
Quanto è facile sfruttare DarkSword e cosa può fare
Matthias Frielingsdorf, cofondatore della società di sicurezza mobile iVerify, ha spiegato che i file pubblicati su GitHub condividono la stessa infrastruttura delle varianti già analizzate dal suo team. La differenza cruciale è che si tratta di codice composto da HTML e JavaScript, il che significa che è copiabile e ospitabile su un qualsiasi server in tempi brevissimi. “Gli exploit funzionano così come sono. Non serve alcuna competenza specifica su iOS”, ha dichiarato Frielingsdorf. Anche Kimberly Samra, portavoce di Google, ha confermato che i ricercatori dell’azienda concordano con questa valutazione.
Un ricercatore indipendente noto online come matteyeux ha raccontato di essere riuscito a compromettere un iPad mini con iOS 18 utilizzando uno dei campioni di DarkSword che circolano in rete. Nel codice sono presenti commenti che spiegano come sfruttare l’exploit. Tra le capacità dichiarate: lettura e trasferimento di file “forensicamente rilevanti” tramite HTTP, quindi contatti, messaggi, registro chiamate e persino il portachiavi iOS, dove sono memorizzate password Wi-Fi e altre informazioni sensibili. Un file farebbe anche riferimento al caricamento dei dati su un noto sito di abbigliamento ucraino. Il motivo non è chiaro, ma in passato DarkSword sarebbe stato impiegato da hacker legati al governo russo contro obiettivi in Ucraina.
Chi rischia davvero e cosa fare subito
Secondo le analisi di iVerify, Google e Lookout, DarkSword colpisce in modo specifico iPhone e iPad con iOS 18. Apple stima che circa un quarto dei dispositivi attivi utilizzi ancora iOS 18 o versioni precedenti. Considerando che nel mondo sono attivi oltre 2,5 miliardi di dispositivi Apple, si parla potenzialmente di centinaia di milioni di utenti esposti.
Apple ha dichiarato di essere al corrente dell’attacco e di aver distribuito l’11 marzo un aggiornamento di emergenza pensato proprio per quei modelli che non possono passare alle versioni più recenti di iOS. “Mantenere il software aggiornato è la cosa più importante che si possa fare per garantire la sicurezza dei propri prodotti Apple”, ha dichiarato la portavoce Sarah O’Rourke, precisando che i dispositivi già aggiornati non sono esposti e che anche la modalità Lockdown è in grado di bloccare l’attacco.
Microsoft, proprietaria di GitHub, non ha fornito commenti sulla pubblicazione del codice. La diffusione di DarkSword arriva poche settimane dopo la scoperta di un altro toolkit avanzato per attacchi contro iPhone, chiamato Coruna, sviluppato originariamente dal contractor della difesa L3Harris attraverso la divisione Trenchant per conto del governo statunitense e dei suoi alleati. Anche in quel caso, Apple ha già rilasciato una patch correttiva.
