Apple ha risolto una falla zero-day su iPhone, sfruttata da spyware contro giornalisti europei, con iOS 18.3.1.
iOS 18: corretta vulnerabilità e attacco ai giornalisti
Apple ha confermato in queste ore di aver corretto in modo silenzioso una grave falla zero-day su iPhone, sfruttata per installare spyware su alcuni dispositivi di giornalisti europei. La vulnerabilità, rimasta inizialmente non dichiarata, è stata risolta con l’aggiornamento iOS 18.3.1, rilasciato lo scorso febbraio 2025. Tuttavia, solo ora Apple ha aggiornato il proprio bollettino di sicurezza, rendendo noto il problema e la sua reale portata.
Secondo quanto rivelato da Citizen Lab, il gruppo di ricerca che ha indagato sugli attacchi, la falla è stata sfruttata da Paragon, una società israeliana specializzata in software di sorveglianza, per colpire almeno due giornalisti europei. I target identificati includono il giornalista italiano Ciro Pellegrino, insieme a un secondo giornalista europeo di rilievo, il cui nome non è stato reso pubblico.
Questi utenti, già nei mesi scorsi, avevano ricevuto da Apple i generici avvisi di minaccia spyware, avvisi che Apple invia periodicamente a persone potenzialmente prese di mira da strumenti di sorveglianza altamente sofisticati.
Funzionamento dell’exploit e risposta di Apple su iOS 18
Secondo i dettagli pubblicati, la vulnerabilità era legata alla gestione dei link iCloud contenenti foto e video. Tramite questa falla, i cybercriminali riuscivano a compromettere gli iPhone delle vittime sfruttando i contenuti multimediali condivisi, senza bisogno di alcuna interazione da parte dell’utente.
Apple ha descritto l’attacco come “estremamente sofisticato” e ha confermato che il problema è stato completamente corretto con la distribuzione di iOS 18.3.1. Tuttavia, al momento del rilascio dell’aggiornamento, l’azienda si era limitata a menzionare una vulnerabilità separata, legata ai blocchi di sicurezza dell’iPhone, senza citare questa seconda criticità.
La scelta di non divulgare immediatamente il problema ha seguito la prassi di Apple per non favorire ulteriori adattamenti da parte degli sviluppatori di spyware. La società ha ribadito ancora una volta il suo approccio prudente: evitare di fornire dettagli pubblici immediati sulle cause delle notifiche di minaccia, per impedire che gli attori malevoli possano modificare rapidamente i propri metodi per eludere i controlli futuri.
Il ruolo di Paragon e l’allarme spyware globale
Paragon era già salita all’attenzione pubblica nei mesi scorsi, quando numerosi utenti di WhatsApp (circa 90 persone tra giornalisti, attivisti e difensori dei diritti umani) avevano ricevuto notifiche di compromissione a causa del software Graphite, sviluppato proprio da Paragon. Successivamente, anche Apple aveva emesso nuovi avvisi di sicurezza lo scorso aprile 2025, notificando utenti in oltre 100 paesi della possibilità di essere stati presi di mira da spyware mercenario.
In nessuna di queste comunicazioni, né WhatsApp né Apple avevano esplicitamente menzionato Paragon, seguendo un protocollo di riservatezza per non ostacolare le indagini in corso e tutelare i propri utenti.
Grazie all’indagine odierna di Citizen Lab, arriva però ora la conferma ufficiale: Paragon è dietro almeno due attacchi documentati che hanno colpito utenti iPhone protetti inizialmente solo da avvisi generici di Apple.
Conclusione
Apple continua a muoversi su un terreno complesso per quanto riguarda la sicurezza e il contrasto agli spyware mercenari. Sebbene la vulnerabilità sia stata corretta già a febbraio 2025 con l’aggiornamento di iOS 18.3.1, i dettagli sono emersi solo ora, mostrando quanto sofisticati e mirati possano essere questi attacchi.
L’intervento di Apple conferma ancora una volta l’importanza di mantenere sempre aggiornato il proprio iPhone con le ultime versioni disponibili, in modo da proteggersi dalle minacce informatiche più avanzate e difficili da rilevare.
Su AppleZein continueremo a seguire ogni nuovo sviluppo su queste vulnerabilità e sugli aggiornamenti futuri di sicurezza.
[fonte]