DarkSword IOS Exploit Kit: Capacità, Limiti E Protezione

Il 18 marzo 2026, Google Threat Intelligence, iVerify e Lookout hanno reso pubblico un exploit kit per iOS chiamato DarkSword. Colpisce gli iPhone con iOS dalla versione 18.4 alla 18.7 – secondo le stime di iVerify, fino a 270 milioni di dispositivi nel mondo. Cinque giorni dopo, il codice completo dell’exploit è stato pubblicato su GitHub. Ecco cosa significa DarkSword per gli utenti iPhone, cosa può fare, cosa non può fare e perché non è un jailbreak.

Cos’è DarkSword?

DarkSword non è un singolo exploit, ma un kit di attacco completo – scritto interamente in JavaScript. Concatena sei vulnerabilità diverse, di cui tre zero-day, in una catena di attacco ininterrotta: dal primo contatto nel browser fino alla completa compromissione del dispositivo a livello kernel.

L’aspetto particolarmente pericoloso: l’attacco avviene tramite siti web manipolati. La vittima deve semplicemente aprire una pagina web compromessa in Safari – nessun clic su un link, nessun download, nessuna conferma. La pagina si carica, l’exploit si attiva e in pochi secondi i dati vengono esfiltrati.

Chi c’è dietro?

Lo sviluppatore originale di DarkSword non è stato identificato pubblicamente. L’analisi di Google indica che un sviluppatore commerciale di exploit ha venduto o concesso in licenza il kit a più clienti. Almeno tre attori diversi hanno utilizzato DarkSword:

UNC6353 – un presunto gruppo di spionaggio russo che da dicembre 2025 attacca obiettivi ucraini tramite attacchi watering-hole (siti web compromessi)
PARS Defense – un fornitore turco di tecnologie di sorveglianza che ha utilizzato il kit contro obiettivi in Turchia e Malesia
UNC6748 – un attore non identificato che ha preso di mira utenti in Arabia Saudita tramite un falso sito web Snapchat

DarkSword non è collegato a NSO Group (Pegasus) o altri noti fornitori di spyware. Si tratta di un prodotto autonomo di un intermediario di exploit finora sconosciuto.

Cosa può fare DarkSword: le capacità nel dettaglio

Una volta compromesso l’iPhone, DarkSword può accedere praticamente a tutti i dati personali. Le capacità documentate comprendono:

Comunicazioni

SMS e conversazioni iMessage
Cronologie chat di Telegram e WhatsApp
Contenuto delle email

Credenziali e account

Nomi utente e password dal Portachiavi (Keychain)
Configurazioni e password Wi-Fi
Cronologia di navigazione e cookie di Safari

Criptovalute

DarkSword prende di mira specificamente oltre 13 piattaforme crypto, tra cui Coinbase, Binance, Kraken, MetaMask e Ledger. Vengono rubate credenziali di accesso agli exchange e chiavi dei wallet.

Dati personali

Foto e relativi metadati
Contatti e cronologia chiamate
Cronologia della posizione
Calendario, Note e dati Salute
File di iCloud Drive
Elenco di tutte le app installate

Sorveglianza

Screenshot dello schermo
Registrazioni audio
Accesso al file system e download di file arbitrari

In sintesi: DarkSword può leggere praticamente tutto ciò che è memorizzato sull’iPhone.

Perché DarkSword non è un jailbreak

Nonostante l’accesso profondo al sistema, DarkSword è fondamentalmente diverso da un jailbreak. Questa è una distinzione importante da comprendere.

Un jailbreak modifica il sistema operativo in modo permanente. Disattiva i meccanismi di sicurezza, installa un gestore di pacchetti (come Cydia) e consente l’installazione di app non firmate e la personalizzazione del sistema. Il dispositivo rimane permanentemente alterato dopo un jailbreak.

DarkSword funziona in modo fondamentalmente diverso:

Nessuna modifica permanente al sistema: DarkSword non modifica la partizione di sistema né installa software persistente. Dopo il furto dei dati, il kit ripulisce le proprie tracce e cancella tutto.
Nessuna installazione di app non firmate: Non è possibile installare app o tweak personalizzati tramite DarkSword. L’attacco si svolge interamente in JavaScript all’interno di processi di sistema compromessi.
Nessun bypass di PPL/SPTM: DarkSword evita deliberatamente di aggirare il Page Protection Layer (PPL) e il Secure Page Table Monitor (SPTM) – le protezioni iOS che impediscono l’esecuzione di codice nativo non firmato. Questo è esattamente ciò che sarebbe necessario per un jailbreak.
Nessuna persistenza: L’intera operazione – dall’exploit all’esfiltrazione dei dati alla pulizia – dura da pochi secondi a pochi minuti. Poi il kit scompare. Un riavvio del dispositivo elimina qualsiasi traccia.
Finestra di versione limitata: DarkSword funziona solo su iOS dalla 18.4 alla 18.7. Un jailbreak mira tipicamente a un supporto ampio delle versioni.

In parole semplici: DarkSword è uno strumento di effrazione chirurgico che colpisce rapidamente e scompare. Un jailbreak è una ristrutturazione permanente del sistema di sicurezza. DarkSword ruba dati – non apre l’iPhone al suo proprietario.

Come funziona tecnicamente l’attacco

DarkSword concatena sei vulnerabilità, tre delle quali erano zero-day al momento dello sfruttamento (ovvero sconosciute ad Apple):

Fase 1 – Esecuzione di codice nel browser: Due vulnerabilità in JavaScriptCore (CVE-2025-31277 e CVE-2025-43529) consentono l’esecuzione di codice arbitrario nel processo Safari durante il caricamento di una pagina web.
Fase 2 – Aggiramento dei meccanismi di sicurezza: Una vulnerabilità in dyld (CVE-2026-20700) aggira i Pointer Authentication Codes (PAC) e ulteriori protezioni come TPRO e SPRR.
Fase 3 – Fuga dalla sandbox: Una vulnerabilità in ANGLE/WebGL (CVE-2025-14174) consente all’exploit di uscire dalla sandbox di Safari nel processo GPU.
Fase 4 – Ottenere privilegi di sistema: Due vulnerabilità del kernel (CVE-2025-43510 e CVE-2025-43520) forniscono accesso completo in lettura e scrittura alla memoria del kernel.
Fase 5 – Esfiltrazione dei dati: Con i privilegi del kernel, DarkSword inietta il suo payload in Springboard (il processo della schermata home) e accede a tutti i dati.

L’intera catena è scritta in JavaScript – una scelta architetturale che consente al kit di aggirare determinate protezioni hardware che si applicano solo al codice binario nativo.

Quanti dispositivi sono interessati?

DarkSword colpisce gli iPhone con iOS dalla 18.4 alla 18.7. Secondo iVerify, al momento della divulgazione fino a 270 milioni di iPhone utilizzavano versioni iOS vulnerabili. Altre stime indicano circa 221 milioni di dispositivi – circa il 14 percento di tutti i dispositivi iOS attivi nel mondo.

La prima campagna nota è iniziata nel novembre 2025. A quel tempo le versioni iOS interessate erano le più recenti, il che significa che una quota significativamente più ampia di utenti iPhone era vulnerabile rispetto a oggi.

La situazione si è aggravata il 23 marzo 2026, quando il codice exploit completo è stato pubblicato su GitHub. Secondo il co-fondatore di iVerify, Matthias Frielingsdorf, gli exploit sono «troppo facili da riutilizzare» – chiunque con conoscenze base di web hosting può impiegarli nel giro di ore.

Apple ha corretto – ma gradualmente

Apple ha risolto tutte e sei le vulnerabilità, sebbene nell’arco di diversi mesi. Nei suoi avvisi di sicurezza ufficiali, Apple descrive i tre zero-day come vulnerabilità sfruttate «in un attacco estremamente sofisticato contro specifici individui mirati».

Luglio 2025 – iOS 18.6: CVE-2025-31277 (JavaScriptCore) corretto
Novembre 2025 – iOS 18.7.2 / iOS 26.1: CVE-2025-43510 e CVE-2025-43520 (Kernel) corretti
Dicembre 2025 – iOS 18.7.3 / iOS 26.2: CVE-2025-43529 (JavaScriptCore) e CVE-2025-14174 (ANGLE) corretti
Febbraio 2026 – iOS 26.3: CVE-2026-20700 (bypass PAC dyld) corretto – l’ultimo zero-day

Per essere completamente protetti, è necessario installare iOS 26.3 o successivo. Apple raccomanda inoltre di attivare la Modalità di isolamento per le persone che si considerano potenziali bersagli di attacchi sofisticati.

Cosa fare adesso

Aggiornare iOS immediatamente: Verificate in Impostazioni → Generali → Aggiornamento software se il vostro dispositivo è aggiornato. iOS 26.3 o successivo chiude tutte le vulnerabilità DarkSword.
Attivare la Modalità di isolamento: Per le persone in posizioni esposte (dirigenti, politici, giornalisti), la Modalità di isolamento in Impostazioni → Privacy e sicurezza offre una protezione aggiuntiva.
Controllare i dispositivi più vecchi: Gli iPhone che non possono più ricevere iOS 26 dovrebbero essere aggiornati almeno a iOS 18.7.3. Apple ha rilasciato anche backport per iOS 15 e 16 nel marzo 2026.
Monitorare i dispositivi aziendali: Soprattutto nelle aziende con politiche BYOD (Bring Your Own Device), verificate se i collaboratori utilizzano versioni iOS obsolete.

Come Zerberos può aiutare

I dispositivi mobili sono spesso il punto cieco nelle strategie di sicurezza. Aiutiamo le aziende a coprire sistematicamente quest’area:

Risk Assessment: Analizziamo l’intera superficie d’attacco – inclusi dispositivi mobili, politiche BYOD e standard di configurazione.
Test di Social Engineering: DarkSword viene distribuito tramite siti web compromessi. Testiamo se i vostri collaboratori cadono in questo tipo di attacchi.
Security Roadmap: Pianificazione strutturata che include la gestione dei dispositivi mobili e strategie di patch per i dispositivi aziendali.

La sicurezza della vostra azienda non finisce al laptop dell’ufficio. Contattateci per una valutazione della vostra sicurezza mobile.