Apple ha rilasciato aggiornamenti d’emergenza per iOS, iPadOS e macOS per correggere l’ennesima vulnerabilità zero-day dell’anno. La CVE-2025-43300, scoperta dai ricercatori del Threat Analysis Group di Google, colpisce il framework Image I/O, il componente che permette a qualsiasi applicazione di leggere e scrivere formati immagine. Un file immagine appositamente costruito è sufficiente a corrompere la memoria del dispositivo e permettere l’esecuzione di codice arbitrario da remoto. Nessuna interazione aggiuntiva della vittima necessaria. Una foto ricevuta, aperta, e il gioco è fatto.
La vulnerabilità è del tipo out-of-bounds write: l’attaccante scrive in memoria oltre la zona prevista, provocando corruzione dei dati, crash dell’applicazione o, nel peggiore dei casi, il controllo completo del dispositivo. Apple, nel suo bollettino di sicurezza, conferma che la falla è stata attivamente sfruttata in quello che definisce un attacco “estremamente sofisticato” contro individui mirati.
Chi è nel mirino. Quando Apple parla di “individui mirati”, il messaggio tra le righe è chiaro: non si tratta di un attacco di massa. I profili più esposti sono quelli di sempre, giornalisti, attivisti, oppositori politici, dirigenti in posizioni sensibili. Il tipo di persone che finiscono nel mirino di spyware di Stato come Pegasus. La scoperta da parte del TAG di Google rafforza questa lettura: è lo stesso team che ha tracciato per anni le campagne di sorveglianza sponsorizzate da governi.
Il fatto che Apple non divulghi i dettagli tecnici dell’exploit è prassi standard in questi casi. Ma il pattern è riconoscibile: vulnerabilità in componenti di basso livello, sfruttamento zero-click, e un ventaglio di dispositivi colpiti che spazia dagli iPhone XS in poi a praticamente tutti gli iPad moderni e i Mac con macOS Sequoia, Sonoma o Ventura.
Sei zero-day in un anno: il mito dell’inviolabilità è morto – La CVE-2025-43300 è la sesta falla zero-day corretta da Apple dall’inizio del 2025. Sei. La prima a gennaio con la CVE-2025-24085, poi febbraio con la CVE-2025-24200 (che neutralizzava il modo restreint USB, aggirando le protezioni contro strumenti come Cellebrite e GrayKey), marzo, aprile con un doppio colpo, e ora questa.
Chi lavora nella cybersecurity lo sa da tempo, ma vale la pena ripeterlo: l’ecosistema Apple non è più quel fortino inespugnabile che il marketing ha venduto per anni. La superficie d’attacco si è ampliata con ogni nuovo servizio, ogni nuova API, ogni nuovo framework integrato. E gli attaccanti, quelli con risorse statali alle spalle, hanno budget e motivazioni che superano di gran lunga le capacità difensive di qualsiasi vendor, incluso Apple.
L’aspetto che nessuno vuole affrontare – C’è un tema elefante nella stanza che le analisi tecniche spesso evitano. Queste vulnerabilità non emergono nel vuoto. Esistono perché esiste un mercato, legale e illegale, per gli exploit su dispositivi Apple. Aziende come NSO Group, Intellexa, Candiru e decine di altri broker di vulnerabilità operano in una zona grigia dove la “sicurezza nazionale” giustifica la sorveglianza commerciale. Finché esisterà un acquirente disposto a pagare milioni per uno zero-click su iPhone, ci sarà qualcuno motivato a trovarlo.
Il regolamento europeo che tenta di disciplinare lo spyware commerciale è un passo nella direzione giusta, ma siamo lontani da un framework efficace. E nel frattempo, chi gestisce informazioni sensibili, dai CISO aziendali ai giornalisti investigativi, deve operare partendo dal presupposto che il proprio dispositivo potrebbe essere compromesso in qualsiasi momento.
Cosa fare, concretamente – La risposta immediata è banale ma non negoziabile: aggiornare subito. iOS 18.4.1, iPadOS 18.4.1, iPadOS 17.7.7, macOS Sequoia 15.4.1, macOS Sonoma 14.7.6 e macOS Ventura 13.7.6. Ogni ora di ritardo è un’ora di esposizione a un exploit già in circolazione.
Ma oltre il patching reattivo, è il momento di fare un ragionamento più strutturato. Il Lockdown Mode introdotto da Apple è progettato esattamente per questi scenari e dovrebbe essere attivato da chiunque abbia un profilo di rischio elevato. Riduce drasticamente la superficie d’attacco disabilitando funzionalità come l’anteprima dei link in Messaggi, la compilazione JIT di WebKit e le connessioni USB non autorizzate. Non è una soluzione perfetta, nessuna lo è, ma alza significativamente la barra per l’attaccante.
Per chi opera in contesti enterprise, l’approccio dovrebbe includere un MDM rigoroso con policy di aggiornamento forzato, la segmentazione delle comunicazioni sensibili su canali cifrati end-to-end verificati, e un assessment periodico dei dispositivi esposti. Le soluzioni di Mobile Threat Defense non sono più un lusso: sono un requisito.
La lezione per chi fa compliance – Per chi come me vive quotidianamente nel mondo DORA, NIS2 e compagnia, questa vicenda è un promemoria utile. I framework regolamentari europei parlano di “gestione del rischio ICT” e “resilienza operativa digitale” non come esercizi teorici, ma come processi vivi che devono includere esattamente questi scenari: vulnerabilità zero-day su dispositivi mobili in uso al personale critico, con potenziale di esfiltrazione di dati regolamentati.
L’articolo 9 di DORA sulla gestione degli incidenti ICT e l’articolo 6 sulla gestione del rischio non lasciano margini di ambiguità: la mancata applicazione tempestiva delle patch di sicurezza su dispositivi che trattano dati finanziari è una non-conformità. Punto. Non serve aspettare l’audit per capirlo.
In cybersecurity, la paranoia non è un difetto. È un requisito professionale.