Proteggere milioni di dispositivi ancora fermi a iOS 18 da una minaccia già attiva e documentata: è questo il senso dell’aggiornamento iOS 18.7.7 che Apple ha deciso di distribuire, riaprendo il ciclo di patch anche per chi non è passato a versioni più recenti del sistema operativo. Al centro di tutto c’è DarkSword, un kit di exploit analizzato da diversi gruppi di ricerca tra cui Lookout, iVerify e Google Threat Intelligence, che si distingue dalle classiche catene di attacco per una struttura modulare e una diffusione più ampia del solito.
Come iOS 18.7.7 protegge gli iPhone da DarkSword
DarkSword sfrutta 6 vulnerabilità distinte, identificate con codici CVE specifici, che colpiscono componenti fondamentali del sistema: il motore WebKit e i sottosistemi di gestione della memoria. La catena di attacco tipica funziona così: contenuti Web malevoli, veicolati tramite pagine compromesse o campagne di phishing mirate, permettono l’esecuzione di codice arbitrario sul dispositivo. Non è il solito exploit riservato a operazioni di sorveglianza chirurgica. Qui la portata è decisamente più larga.
Le correzioni introdotte da Apple agiscono su più livelli. Il primo riguarda WebKit, dove sono stati risolti bug di tipo memory corruption e problemi nel compilatore JIT che consentivano lettura e scrittura arbitraria della memoria. Il secondo intervento ha rafforzato il sistema di isolamento dei processi, eliminando le condizioni che permettevano il passaggio tra sandbox. Sono state aggiornate anche librerie grafiche e componenti intermedi che fungevano da ponte tra diversi livelli di privilegio. Il terzo livello tocca il kernel: qui le patch hanno corretto vulnerabilità che davano accesso diretto alla memoria e alla manipolazione di strutture critiche, potenziando meccanismi come i Pointer Authentication Codes.
Difese rafforzate e malware associati a DarkSword
Oltre alle correzioni puntuali, Apple ha lavorato per irrigidire difese già presenti nel sistema. Il sandboxing è stato ulteriormente isolato, riducendo le superfici di attacco tra processi. Un ruolo importante lo gioca anche la Modalità isolamento: i dati raccolti indicano che i dispositivi con questa funzione attiva non risultavano vulnerabili alla catena DarkSword. Questo dettaglio, da solo, dice parecchio sull’efficacia di quella modalità, spesso sottovalutata.
Sul fronte rete, Apple ha bloccato direttamente in Safari i domini e gli URL utilizzati nelle campagne di attacco, riducendo l’esposizione soprattutto contro attacchi di tipo watering hole, dove siti legittimi compromessi distribuiscono codice malevolo attraverso iframe o script nascosti.
Le analisi condotte finora hanno evidenziato l’impiego di più famiglie di malware distribuite proprio sfruttando le vulnerabilità di DarkSword. Tra queste spicca GhostBlade, un infostealer in JavaScript che opera nel contesto del browser intercettando dati sensibili, sessioni attive e credenziali. A supporto operano GhostKnife, una backdoor persistente, e GhostSaber, capace di eseguire codice da remoto e orchestrare ulteriori payload. La combinazione di queste componenti permette catene di compromissione complete: accesso iniziale via browser, escalation dei privilegi e persistenza nel sistema.
Verso mitigazioni più ampie e dispositivi coperti
Il modello di attacco mostrato da DarkSword mette in luce un problema strutturale: la complessità delle exploit chain che concatenano più vulnerabilità. Apple sta quindi spostando l’attenzione verso tecniche di mitigazione generica, puntando sul rafforzamento delle protezioni hardware, sulla riduzione delle superfici esposte e su aggiornamenti più rapidi anche per versioni meno recenti del sistema. L’obiettivo non è solo tappare le singole falle, ma rendere molto più difficile costruire catene complete come quella sfruttata da DarkSword.
L’aggiornamento iOS 18.7.7 copre un ampio spettro di dispositivi, dagli iPhone XR fino alle generazioni più recenti come iPhone 16. Anche numerosi modelli di iPad ricevono la patch, inclusi iPad Air con chip M2 e M3 e iPad Pro con architettura M4.