Agire ora: cosa devono sapere gli utenti iPhone
Se state ancora valutando se aggiornare a iOS 26, è il momento di prendere una decisione. Apple ha confermato lo sfruttamento attivo di due vulnerabilità critiche in WebKit, il motore che alimenta Safari e molte altre applicazioni iOS. Questo significa che gli aggressori stanno già sfruttando questi difetti nel mondo reale.
La soluzione rapida: aggiornate il vostro iPhone a iOS 26.2 il prima possibile. Questo aggiornamento contiene le correzioni essenziali e attiva le nuove protezioni di memoria che non sono disponibili nelle versioni precedenti di iOS. Se avete un iPhone 11 o più recente, potete accedere a questi aggiornamenti critici di sicurezza.
Perché questo importa davvero
Il 12 dicembre 2025, Apple ha patched due vulnerabilità zero-day in WebKit collegate a spyware mercenario. Queste falle di sicurezza consentono agli aggressori di eseguire codice arbitrario su un dispositivo attraverso contenuti web dannosi. Non è necessario fare clic su link sospetti o compiere azioni rischiose: semplicemente visualizzare una pagina web malevola potrebbe essere sufficiente per compromettere il vostro dispositivo.
WebKit è un componente critico di iOS perché alimenta Safari e viene utilizzato da tutti i browser di terze parti disponibili sull’App Store. Questo lo rende un’enorme superficie di attacco che non potete evitare semplicemente modificando le vostre abitudini di navigazione.
Chi è nel mirino?
Apple ha indicato che questi attacchi sono stati principalmente rivolti a individui ad alto valore: diplomatici, giornalisti ed executive. Tuttavia, quando gli exploit iniziano in campagne mirate, spesso si diffondono. Gli strumenti e le tecniche sviluppati per questi attacchi vengono frequentemente riciclati e utilizzati da altri gruppi di minacce. Quindi, anche se non siete un “bersaglio di alto profilo”, la strategia “non sono un obiettivo” non è una protezione affidabile.
Il problema dell’adozione lenta
Nonostante la gravità di queste vulnerabilità, l’adozione di iOS 26 è stata inusualmente lenta. A gennaio 2026, solo il 4,6% degli iPhone attivi esegue iOS 26.2, e circa il 16% utilizza qualsiasi versione di iOS 26. La stragrande maggioranza dei dispositivi rimane su versioni precedenti come iOS 18. Questo significa che la maggior parte degli utenti iPhone è attualmente vulnerabile a questi attacchi confermati.
Apple ha reso le correzioni e le nuove protezioni disponibili solo su iOS 26+ per i dispositivi supportati. Se il vostro dispositivo è rimasto su iOS 18 o versioni precedenti, non avrete accesso a queste protezioni critiche, indipendentemente da quanto importanti siano.
Il ruolo cruciale del riavvio
Molti utenti non comprendono appieno un aspetto importante della sicurezza: quando riavviate il vostro dispositivo, qualsiasi malware residente in memoria viene eliminato. Gli strumenti spyware sofisticati evitano di lasciare tracce necessarie per la persistenza e spesso si basano sul fatto che gli utenti non riavviano i loro dispositivi.
Questo rende l’aggiornamento a iOS 26.2 particolarmente efficace: non solo ottenete le correzioni di sicurezza più recenti, ma il riavvio richiesto dall’aggiornamento elimina anche qualsiasi malware residente in memoria che potrebbe già essere presente sul vostro dispositivo.
Come aggiornare il vostro dispositivo
Per verificare se state utilizzando la versione software più recente:
- Aprite Impostazioni
- Toccate Generale
- Selezionate Aggiornamento Software
- Se disponibile, toccate Scarica e Installa
- Seguite le istruzioni sullo schermo
È altamente consigliato attivare anche gli Aggiornamenti Automatici nella stessa schermata. In questo modo, il vostro dispositivo scaricherà e installerà automaticamente gli aggiornamenti di sicurezza critici non appena diventano disponibili.
Strategie aggiuntive per rimanere al sicuro
Oltre all’aggiornamento, potete adottare diverse misure per proteggere il vostro dispositivo:
Riavviate regolarmente il vostro dispositivo. La NSA raccomanda di farlo almeno settimanalmente. Un riavvio regolare elimina il malware residente in memoria e aiuta a mantenere il sistema operativo stabile.
Non aprite link e allegati non sollecitati senza verificare direttamente con il mittente tramite un canale di comunicazione di fiducia. Gli aggressori spesso utilizzano l’ingegneria sociale per indurvi ad aprire contenuti dannosi.
Ricordate che Apple non vi chiederà mai di fare clic su link, aprire file, installare app o fornire password e codici di verifica tramite notifiche di sicurezza.
Per gli utenti di Apple Mail: queste vulnerabilità WebKit creano un rischio particolare quando visualizzate email in formato HTML contenenti contenuti web dannosi. Siate particolarmente cauti con le email HTML da mittenti sconosciuti.
Considerate Lockdown Mode se siete un bersaglio ad alto valore o desiderate un livello extra di sicurezza. Questa modalità disabilita alcune funzionalità per ridurre la superficie di attacco, anche se può limitare la funzionalità del dispositivo.
Approfondimento tecnico
Dettagli delle vulnerabilità
Le due vulnerabilità zero-day identificate sono CVE-2025-14174 (CVSS 8.8) e CVE-2025-43529 (CVSS 9.8). Entrambe sono classificate come vulnerabilità di “Memory Corruption” e “Arbitrary Code Execution”.
CVE-2025-14174 è stata identificata come un integer overflow nel motore WebKit di Apple, specificamente durante il calcolo degli offset di memoria per operazioni TypedArray e DataView. Questo overflow si verifica in JavaScriptCore (JSC), l’elemento centrale di Safari e di tutti i browser di terze parti su iOS.
La vulnerabilità sfrutta una “primitiva deterministica” che consente agli aggressori di condurre attacchi più complessi. Sebbene le misure di difesa integrate da Apple, come Gigacage (il meccanismo di partizionamento di sicurezza di WebKit), siano attualmente efficaci nel prevenire l’accesso alla memoria al di fuori della partizione consentita di 16 GB, la vulnerabilità rappresenta comunque una via d’accesso significativa per ulteriori exploit.
Vettori di attacco
Le tecniche di sfruttamento si basano sulla corruzione della memoria nel motore WebKit e sono funzionali all’iniezione di payload persistenti tramite vettori zero-interaction. Questo significa che l’attacco non richiede alcuna interazione dell’utente oltre alla semplice visualizzazione di una pagina web dannosa.
Questi vettori di attacco sono tipici di attori dotati di capacità offensive avanzate (Advanced Persistent Threat – APT). La collaborazione tra Apple Security Engineering and Architecture e Google Threat Analysis Group nel identificare entrambe le vulnerabilità suggerisce fortemente che siano state utilizzate per campagne di sorveglianza altamente mirate e coordinate.
Dispositivi e versioni interessate
Tutti i dispositivi Apple in grado di rendere contenuti web sono stati potenzialmente interessati, inclusi:
– iPhone 11 e successivi
– iPad supportati
– Apple Watch Series 6 e successivi
– Apple TV
– Vision Pro
Le versioni interessate includevano iOS precedenti a 26.2 e iPadOS precedenti a 26.2, nonché versioni precedenti a 18.7.3 (per i dispositivi che non supportano iOS 26).
Protezioni aggiuntive in iOS 26+
Oltre alle correzioni specifiche delle vulnerabilità, iOS 26+ introduce Memory Integrity Enforcement, una protezione di memoria più robusta che non è disponibile nelle versioni precedenti di iOS. Questa protezione è fondamentale per mitigare i rischi di futuri exploit di memory corruption.
L’implementazione di queste protezioni solo su iOS 26+ riflette un cambio architetturale significativo nel modo in cui Apple gestisce la sicurezza della memoria nei suoi sistemi operativi.
