Apple corregge vulnerabilità zero-day sfruttata in attacchi mirati

Apple ha rilasciato iOS 18.3.1, iPadOS 18.3.1 e iPadOS 17.7.5 per risolvere un exploit zero-day che potrebbe consentire agli aggressori di accedere ai dati su un dispositivo bloccato. Come riportato in un avviso pubblicato dall’azienda: "Un attacco fisico potrebbe disabilitare la modalità con restrizioni USB su un dispositivo bloccato. Apple è a conoscenza di un rapporto secondo cui questo problema potrebbe essere stato sfruttato in un attacco estremamente sofisticato contro individui specifici".  Per chi non lo sapesse, quasi 7 anni fa, con iOS 11.4.1, Apple ha introdotto una funzionalità di sicurezza chiamata USB Restricted Mode. Questa impedisce agli accessori USB di creare una connessione dati se il dispositivo è stato bloccato per più di un'ora. Si tratta di una funzionalità progettata per impedire a software forensi come Graykey e Cellebrite (comunemente utilizzati dalle forze dell'ordine) di estrarre dati da dispositivi iOS bloccati.

A novembre, Apple ha introdotto un'altra funzionalità di sicurezza denominata "Inactivity reboot". Questa riavvia automaticamente gli iPhone dopo lunghi periodi di inattività per crittografare nuovamente i dati e renderne più difficile l'estrazione da parte di software forensi. La vulnerabilità zero-day (contrassegnata come CVE-2025-24200 e segnalata da Bill Marczak di Citizen Lab) a cui è stata applicata la patch è un problema di autorizzazione risolto in iOS 18.3.1, iPadOS 18.3.1 e iPadOS 17.7.5, che offre una migliore gestione dello stato.

Apple: i dispositivi colpiti dalla vulnerabilità zero-day

L'elenco dei dispositivi interessati da questo zero-day include diversi dispositivi. Tra questi vi sono iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici di terza generazione e successivi, iPad Pro da 11 pollici di prima generazione e successivi, iPad Air di terza generazione e successivi, iPad di settima generazione e successivi e iPad mini di quinta generazione e successivi, iPad Pro da 12,9 pollici di seconda generazione, iPad Pro da 10,5 pollici e iPad di sesta generazione. Questa vulnerabilità è stata sfruttata solo in attacchi mirati. Tuttavia, si consiglia vivamente di installare immediatamente gli aggiornamenti di sicurezza odierni per bloccare potenziali tentativi di attacco in corso.

Apple non ha ancora fornito maggiori informazioni sull'eventuale sfruttamento della vulnerabilità. Tuttavia, i ricercatori di sicurezza di Citizen Lab hanno spesso scoperto attacchi informatici che sfruttano falle di sicurezza per colpire individui ad alto rischio. Ciò riguarda soprattutto giornalisti, oppositori politici e dissidenti. Citizen Lab aveva già segnalato due altre vulnerabilità zero-day (CVE-2023-41061 e CVE-2023-41064), che Apple ha corretto con aggiornamenti di emergenza a settembre 2023. Queste falle erano state utilizzate in un attacco sofisticato chiamato BLASTPASS. Quest’ultimo consentiva di infettare iPhone completamente aggiornati con lo spyware Pegasus del gruppo NSO, senza che l'utente dovesse compiere alcuna azione (zero-click). Il mese scorso, Apple ha corretto la prima vulnerabilità zero-day del 2025 (CVE-2025-24085), che era stata sfruttata in attacchi contro utenti iPhone.