Redazione RHC : 13 Giugno 2025 15:17
Apple ha corretto una vulnerabilità critica, utilizzata per sferrare attacchi Zero Click contro giornalisti in Europa. L’errore permetteva di infettare i dispositivi senza l’interazione dell’utente: era sufficiente ricevere un messaggio appositamente preparato tramite iCloud Link. I dettagli dell’attacco, i suoi meccanismi e le sue conseguenze sono stati svelati dagli specialisti di Citizen Lab, che hanno condotto un’indagine forense sulle conseguenze di attacchi reali.
La vulnerabilità, identificata come CVE-2025-43200, è stata risolta il 10 febbraio 2025, negli aggiornamenti iOS 18.3.1 . , iPadOS 18.3.1, iPadOS 17.7.5, macOS Sequoia 15.3.1, macOS Sonoma 14.7.4, macOS Ventura 13.7.4, watchOS 11.3.1 e visionOS 2.3.1. Secondo Apple, il problema è stato causato da un errore logico nell’elaborazione di foto o video inviati tramite link iCloud. Per risolverlo, l’azienda ha implementato controlli aggiuntivi.
Apple ha confermato ufficialmente che la vulnerabilità è stata sfruttata in un “attacco altamente sofisticato” contro individui specifici. Sebbene i dettagli dell’attacco in sé non siano stati divulgati nella notifica, l’analisi di Citizen Lab ha dimostrato che la falla è stata sfruttata per infettare gli iPhone di due giornalisti.
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
I dispositivi hackerati erano dotati di Graphite, uno strumento di sorveglianza avanzato sviluppato dall’azienda israeliana Paragon. Questo modulo spyware consente l’accesso remoto a messaggi, e-mail, microfono, fotocamera e posizione del dispositivo. Il suo utilizzo è solitamente limitato alle agenzie governative ed è ufficialmente considerato uno strumento per combattere la criminalità e le minacce alla sicurezza nazionale.
Citizen Lab ha scoperto che entrambi i giornalisti sono stati infettati dallo stesso account Apple, denominato “ATTACKER1“, il che indica che entrambi gli attacchi provenivano dallo stesso client Paragon. Le notifiche di Apple relative agli attacchi spyware sono state inviate alle vittime il 29 aprile 2025. Il sistema di allerta di Apple, in vigore dal 2021, avvisa gli utenti della potenziale esposizione a operatori governativi, ma non garantisce un’infezione effettiva.
Ciò che è ancora più allarmante è che Apple ha risolto contemporaneamente un’altra vulnerabilità, il CVE-2025-24200, anch’essa sfruttata in attacchi attivi. L’azienda ha segnalato questo bug solo qualche tempo dopo, senza specificare il motivo del ritardo. L’incidente è strettamente legato a un altro scandalo scoppiato a gennaio, quando Meta ha denunciato che Graphite era stato utilizzato per attaccare decine di utenti WhatsApp in tutto il mondo. Tra le vittime c’era anche il giornalista Francesco Cancellato, collega di Ciro Pellegrino. Questo porta il numero totale delle vittime note di Graphite a sette.
In mezzo alla controversia, la Commissione parlamentare per la sicurezza (COPASIR) ha pubblicato un rapporto in cui ha riconosciuto che le agenzie di intelligence italiane avevano effettivamente utilizzato Graphite per la sorveglianza mirata, ma solo nel rispetto della legge e dopo aver ottenuto tutte le autorizzazioni necessarie. Secondo la commissione, il programma era utilizzato per combattere il terrorismo, la criminalità organizzata, l’immigrazione clandestina, il contrabbando di carburante, lo spionaggio e i latitanti. Tuttavia, il dispositivo di Cancellato, come affermato nel documento, non era tra gli obiettivi, lasciando aperta la questione della vera fonte della sorveglianza.
Il rapporto rivela anche il funzionamento interno di Graphite. Per utilizzare lo spyware, un operatore deve accedere con nome utente e password. Ogni sessione viene registrata su un server gestito dal client: è il client, non Paragon, a controllare l’archiviazione e l’accesso ai registri delle attività. Ciò significa che l’utente finale può utilizzare Graphite in completa autonomia, senza controllo o monitoraggio esterno.
Citizen Lab ha sottolineato ancora una volta che tali incidenti dimostrano quanto i giornalisti rimangano vulnerabili agli strumenti commerciali di sorveglianza digitale. La difficoltà di rilevamento, la mancanza di procedure trasparenti e la possibilità di infezioni senza contatto rendono tali attacchi particolarmente pericolosi. La situazione dimostra chiaramente quanto sia urgente rafforzare il controllo internazionale e la regolamentazione giuridica nel campo della sorveglianza digitale.
Nel frattempo, un nuovo vettore di minaccia si sta sviluppando nel cyberspazio. Insikt Group di Recorded Future ha rilevato una ripresa dell’attività di un altro spyware israeliano, Predator, creato da Intellexa/Cytrox. A seguito delle sanzioni statunitensi, gli sviluppatori hanno modificato la propria infrastruttura e sono tornati in azione. I ricercatori hanno identificato nuovi server di livello 1 che indicano infezioni in Mozambico, nonché un collegamento con l’azienda ceca FoxITech sro, precedentemente affiliata al consorzio Intellexa.
Predator è stato utilizzato in più di una dozzina di paesi negli ultimi due anni, tra cui Angola, Armenia, Egitto, Indonesia, Mongolia, Arabia Saudita e Filippine. Più della metà dei clienti noti del programma si trova in Africa. Gli analisti affermano che l’impennata di attività è dovuta all’elevata domanda nei paesi soggetti a restrizioni all’esportazione, nonché all’utilizzo di strutture aziendali complesse che rendono difficile rintracciare l’origine e l’utente finale.
Gli esperti sottolineano che l’emergere di nuove infezioni, parallelamente agli attacchi con Graphite, evidenzia la portata della minaccia. Dispositivi, dati e privacy possono essere monitorati senza notifiche, mandati o segnali evidenti. La sorveglianza digitale sta diventando uno strumento privo di feedback e di controllo esterno.
RedazioneSecondo un nuovo rapporto del gruppo per i diritti umani Amnesty International, pubblicato dopo quasi due anni di ricerche sulla situazione, la Cambogia resta un punto caldo sulla mappa mondiale della...
Hunters International, il gruppo responsabile di uno dei più grandi attacchi ransomware degli ultimi anni, ha annunciato ufficialmente la cessazione delle sue attività. In una dichiarazione ...
I ricercatori di Okta hanno notato che aggressori sconosciuti stanno utilizzando lo strumento di intelligenza artificiale generativa v0 di Vercel per creare pagine false che imitano qu...
Google è al centro di un’imponente causa in California che si è conclusa con la decisione di pagare oltre 314 milioni di dollari agli utenti di smartphone Android nello stato. Una giu...
La RHC Conference 2025, organizzata da Red Hot Cyber, ha rappresentato un punto di riferimento per la comunità italiana della cybersecurity, offrendo un ricco programma di talk, workshop e compet...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
