DarkSword e la fine del mito dell’iPhone inviolabile

Per anni ci hanno venduto l’iPhone come una cassaforte da tasca: elegante, costosa, blindata. Poi arriva DarkSword e il copione cambia. Non perché Apple sia improvvisamente diventata dilettante, ma perché il mercato degli exploit per iPhone sta assumendo la forma di un bazar globale dove strumenti una volta riservati allo spionaggio di alto livello iniziano a circolare con una disinvoltura inquietante.

La nuova tecnica, scoperta dai ricercatori di Google Threat Intelligence Group, iVerify e Lookout, è stata già usata da cybercriminali russi contro dispositivi Apple con iOS 18 attraverso siti web compromessi. Il punto più grave è questo: non serve un attacco sofisticato costruito su misura contro una singola vittima. In certi casi può bastare visitare un sito infetto. E lì cade tutta la retorica rassicurante sulla sicurezza come privilegio automatico del marchio.

Secondo i ricercatori, DarkSword colpisce i dispositivi che non eseguono le versioni più aggiornate di iOS. E qui i numeri pesano: quasi un quarto degli iPhone usava ancora iOS 18. Tradotto: parliamo di una superficie d’attacco enorme, potenzialmente centinaia di milioni di dispositivi. Non una nicchia, ma una massa.

Il problema è sistemico. Lo avevamo già visto parlando di come le app manipolano le scelte, di quanto la nostra identità digitale sia fragile e di come i dispositivi siano progettati per trattenerci. DarkSword aggiunge un altro tassello: il telefono più personale che abbiamo può diventare una porta spalancata sui nostri dati.

Come funziona davvero DarkSword

Secondo Lookout, DarkSword è pensato per sottrarre password, foto, registri di iMessage, WhatsApp e Telegram, cronologia del browser, dati di Calendario e Note, fino alle informazioni dell’app Salute. E non si ferma lì: ruba anche credenziali di wallet crypto. Quindi non siamo davanti soltanto a un’operazione di spionaggio, ma a uno strumento ibrido, utile sia per il controllo sia per il profitto.

La parte più allarmante è il metodo. DarkSword non si comporta come il classico spyware che si installa e rimane annidato nel telefono. Usa una logica più simile ai malware fileless: sfrutta processi legittimi del sistema operativo, li piega al proprio scopo e lascia meno tracce. Colpisce, prende quello che deve prendere nei primi minuti e sparisce al riavvio. Un approccio “smash-and-grab”: entra, saccheggia, se ne va.

È una differenza cruciale, perché rende l’attacco meno visibile e quindi più difficile da intercettare per l’utente medio. Non c’è il grande allarme hollywoodiano, non c’è il telefono che esplode o si blocca. C’è la normalità. E ormai lo sappiamo: nel digitale è proprio la normalità il travestimento perfetto del rischio. Lo stesso meccanismo lo ritroviamo quando analizziamo il vero potere degli algoritmi: funzionano meglio quando spariscono alla vista.

Ma c’è un dettaglio persino più sporco. I ricercatori di iVerify sostengono che il codice completo di DarkSword sia stato lasciato in chiaro sui siti compromessi, con commenti in inglese e istruzioni comprensibili. In pratica: non solo un’arma, ma un catalogo d’uso. Un invito implicito ad altri criminali a copiarla e riutilizzarla. È la democratizzazione dell’exploit, solo che invece di distribuire conoscenza distribuisce potenza offensiva.

Dietro DarkSword c’è un mercato che ormai non si nasconde più

Il caso DarkSword arriva a poca distanza da Coruna, un altro toolkit usato contro dispositivi Apple e associato a gruppi legati alla Russia. I ricercatori non dicono che i due strumenti abbiano gli stessi autori, ma il fatto che siano stati usati dagli stessi ambienti criminali suggerisce qualcosa di molto preciso: esiste una filiera. C’è chi sviluppa, chi intermedia, chi compra e chi usa. E quando questa filiera si allarga, gli exploit che un tempo servivano per colpire giornalisti, dissidenti o oppositori finiscono nelle mani di chiunque abbia denaro e pochi scrupoli.

È qui che la storia smette di riguardare soltanto Apple. Riguarda il modello generale della sicurezza digitale nel 2026. Riguarda il fatto che la vulnerabilità non è più l’eccezione, ma una merce. E quando una vulnerabilità diventa merce, prima o poi arriva sempre al mercato di massa.

Apple ha ricordato di aver distribuito aggiornamenti di sicurezza e che esistono sia una pagina ufficiale sugli Apple security releases sia indicazioni specifiche per aggiornare iPhone contro questi attacchi web. Per gli utenti più esposti resta disponibile anche la Modalità di isolamento. Bene. Ma il punto politico e culturale resta: la protezione dipende sempre di più dalla rapidità con cui aggiorniamo, e sempre meno dalla promessa originaria del dispositivo. Chi rimane indietro, anche di poco, entra in una zona grigia dove la sicurezza è solo un ricordo pubblicitario.

DarkSword mostra che il vero problema non è soltanto l’iPhone bucato, ma il fatto che esista ormai un mercato stabile di strumenti pensati per svuotare la nostra vita digitale. E quando questi strumenti cominciano a circolare senza più neppure il pudore di nascondersi, non siamo davanti a un incidente. Siamo davanti a un’industria.