Allarme iPhone, aggiorna subito: un virus invisibile ruba le tue password

Scatta l’allarme rosso per milioni di possessori di iPhone. Apple ha appena lanciato d’urgenza l’aggiornamento iOS 18.7.7 per bloccare sul nascere una devastante minaccia invisibile. Si tratta di un potentissimo kit di spionaggio finito nelle mani degli hacker, capace di bucare le difese del tuo smartphone e installare virus letali che rubano password e screenshot nel silenzio più totale. Una vera e propria crisi di sicurezza che sta investendo l’intero ecosistema tech: anche i PC con sistemi Gigabyte e le librerie grafiche di Google sono attualmente sotto attacco, costringendo le autorità governative americane a emanare un ordine di aggiornamento immediato per scongiurare il furto di massa dei dati. Apple accelera la difesa dell’ecosistema mobile con l’espansione di iOS 18.7.7 e iPadOS 18.7.7 a una platea più ampia di dispositivi, inclusi modelli ancora molto diffusi in ambito aziendale e pubblico. L’estensione della disponibilità, confermata il 1° aprile anche per i device che mantengono il ramo iOS 18, punta a chiudere le superfici esposte al kit di exploit DarkSword, oggi una delle minacce più concrete per iPhone e iPad non aggiornati. Apple stessa ha specificato di aver abilitato la release per più modelli così da raggiungere anche chi usa ancora aggiornamenti automatici sul ramo legacy. La novità assume un peso strategico perché DarkSword non è più una semplice catena di attacco usata in operazioni mirate. Le analisi di Google Threat Intelligence Group mostrano come il toolkit sia stato adottato da più attori, inclusi gruppi riconducibili a campagne di cyber espionage e operatori commerciali del mercato spyware. Il framework sfrutta sei vulnerabilità tra kernel, WebKit, JavaScriptCore, driver grafici e bypass PAC, consentendo compromissione quasi zero-click tramite siti compromessi e watering hole. Il quadro si complica ulteriormente con la decisione della CISA di inserire la CVE-2026-5281 nel catalogo Known Exploited Vulnerabilities, mentre Gigabyte distribuisce una patch critica per il suo Control Center dopo la scoperta di una vulnerabilità di arbitrary file write. Tre ecosistemi differenti, ma un unico denominatore: accesso persistente ai sistemi e rischio immediato di compromissione.

Apple estende iOS 18.7.7 per chiudere la catena DarkSword

L’aspetto più rilevante dell’aggiornamento Apple è la sua estensione a dispositivi meno recenti ma ancora largamente presenti nelle flotte enterprise. Rientrano nella distribuzione ampliata modelli come iPhone XR, iPhone XS, iPhone 11, iPhone SE di seconda generazione, oltre a diversi iPad Air, iPad Pro e tablet di settima generazione. La scelta non è casuale: proprio questi terminali spesso restano ancorati al ramo iOS precedente per ragioni di compatibilità software, MDM o policy aziendali. Secondo le evidenze raccolte da GTIG, DarkSword bersaglia in particolare le versioni comprese tra iOS 18.4 e 18.7, combinando exploit multipli in una catena completa capace di arrivare all’esecuzione privilegiata. I payload finali osservati includono GhostBlade, orientato al controllo remoto persistente, GhostKnife, specializzato nella raccolta di credenziali e token, e GhostSaber, focalizzato su screenshot, wallet crypto e dati di sessione. Dal punto di vista tecnico, uno degli elementi più preoccupanti è il bypass delle protezioni Pointer Authentication Code e dei controlli hardware più avanzati dei SoC Apple. Questo significa che anche dispositivi considerati robusti sotto il profilo della sicurezza possono diventare vulnerabili se restano su build non corrette. Per questo iOS 18.7.7 non va considerato un update minore, ma un vero backport di sicurezza ad alta priorità.

CISA inserisce CVE-2026-5281 nel KEV per la libreria Dawn

Parallelamente al fronte mobile, la CISA ha aggiornato il proprio catalogo KEV con la CVE-2026-5281, una vulnerabilità di tipo use-after-free nella libreria grafica Google Dawn, componente chiave dell’implementazione WebGPU in diversi browser e applicazioni cloud-native. La falla interessa ambienti Windows, macOS e Linux che sfruttano Dawn per il rendering accelerato GPU, compresi browser Chromium-based, strumenti CAD online, dashboard di visualizzazione dati e piattaforme SaaS ad alta intensità grafica. Il bug nasce da una gestione non corretta del ciclo di vita degli oggetti grafici in memoria durante il rilascio di risorse condivise, creando una finestra per esecuzione di codice arbitrario.

CVE-2026-5281 Google Dawn Use-After-Free Vulnerability

L’inserimento nel catalogo Known Exploited Vulnerabilities ha una conseguenza immediata: per le agenzie federali statunitensi scatta l’obbligo di remediation entro 21 giorni, con deadline fissata al 22 aprile 2026. Questo passaggio segnala quasi sempre l’esistenza di exploit già in uso reale, spesso in campagne APT o attacchi opportunistici ad alto valore. Nel contesto enterprise europeo, il segnale da cogliere è semplice: tutti gli asset che usano stack WebGPU, browser Chromium o librerie Dawn custom devono essere verificati immediatamente.

Gigabyte corregge la falla critica nel Control Center

Sul versante hardware desktop, Gigabyte ha corretto la CVE-2026-4415, vulnerabilità con CVSS 9.2 nel software Gigabyte Control Center, utility largamente usata per tuning, RGB, aggiornamenti firmware e controllo termico su schede madri e notebook gaming. La falla permette a un attaccante locale, oppure a un malware già presente con privilegi utente, di sfruttare la funzione di pairing per effettuare scrittura arbitraria di file in percorsi privilegiati. In pratica, il vettore consente di depositare DLL, task persistenti, script di startup o modifiche a file sensibili del sistema operativo, trasformando una compromissione iniziale limitata in una persistence completa. La patch distribuita nella build 25.12.10.01 introduce controlli di validazione sui path e soprattutto disabilita il pairing di default, riducendo la superficie esposta. Il fatto che anche TW-CERT abbia pubblicato un alert separato conferma la severità del problema soprattutto in Asia, dove Gigabyte mantiene una forte penetrazione in ambienti professionali, laboratori CAD e workstation per produzione video. Per SOC e amministratori IT la priorità è chiara: verificare versioni installate, cercare IOC relativi a modifiche sospette in cartelle di startup e disabilitare immediatamente il pairing sui sistemi non ancora aggiornati.

Impatto operativo per aziende, PA e utenti avanzati

Le tre vulnerabilità trattate in questa ondata di patching non appartengono allo stesso ecosistema, ma condividono una caratteristica critica: riducono drasticamente la necessità di interazione da parte della vittima. Nel caso Apple, basta la visita a una pagina compromessa per attivare la catena DarkSword. Sul fronte Dawn, il rendering di contenuti WebGPU manipolati può portare alla corruzione memoria. Nel caso Gigabyte, un accesso locale limitato può essere rapidamente trasformato in persistenza a livello macchina. Per le aziende ciò si traduce in tre priorità immediate. La prima è la verifica del parco iPhone e iPad legacy ancora fermo su iOS 18. La seconda riguarda browser, VDI e workstation che eseguono applicazioni basate su WebGPU. La terza coinvolge PC engineering, gaming workstation e laptop creator con Gigabyte Control Center installato. Nei contesti giornalistici, governativi e difesa, il rischio è ancora più elevato. DarkSword è già stato osservato in campagne contro target in Ucraina, Arabia Saudita, Turchia e Malesia, con forte componente di sorveglianza e raccolta dati sensibili.

Le misure tecniche da applicare entro 48 ore

Dal punto di vista operativo la finestra consigliata resta 48 ore, soprattutto per dispositivi mobili e workstation ad accesso esterno. Su Apple, tutti i terminali supportati devono passare ad iOS 18.7.7 o release successive. Dove l’update non è ancora possibile per vincoli di compatibilità, è consigliabile attivare Lockdown Mode, misura che Apple e i ricercatori indicano come mitigazione efficace contro exploit web complessi come DarkSword. Per Gigabyte, oltre all’aggiornamento alla build 25.12.10.01, è opportuno effettuare un controllo di integrità su servizi avviati automaticamente, chiavi Run del registro, scheduled task e cartelle ProgramData dove potrebbero essere stati depositati file malevoli. Sul fronte Dawn/WebGPU, gli sviluppatori devono integrare la libreria aggiornata nelle pipeline CI/CD e validare i pacchetti distribuiti ai client desktop. Per i browser aziendali, il rollout delle ultime versioni di Chrome ed Edge diventa prioritario. L’aspetto più importante, però, è metodologico: questa ondata dimostra che oggi le vulnerabilità grafiche, mobile e di utility OEM non possono più essere trattate come issue secondarie. Sono vettori primari di accesso iniziale.