Apple scopre vulnerabilità zero-day in dyld: rischio per tutti gli iPhone dal 2007

Per oltre diciassette anni, una vulnerabilità zero-day è rimasta silente nei dispositivi Apple iOS, consentendo a potenziali attaccanti di sfruttare una falla di sicurezza che, solo con l’aggiornamento iOS 26.3, è stata finalmente chiusa. Questo aggiornamento rappresenta una delle più importanti azioni di mitigazione degli ultimi anni per la sicurezza iPhone, poiché risolve la criticità catalogata come CVE-2026-20700. La scoperta è stata effettuata dal Threat Analysis Group di Google, che ha individuato come la falla fosse già oggetto di attacco mirato da parte di gruppi dotati di sofisticati strumenti offensivi.

Al centro di questa vicenda si trova dyld, il componente cruciale responsabile della gestione dell’avvio delle applicazioni su ogni dispositivo Apple. Il suo ruolo di intermediario tra sistema operativo e programmi lo rende un bersaglio particolarmente appetibile: un errore nella gestione della memoria, infatti, permetteva a un aggressore di eludere i controlli di sicurezza e ottenere l’esecuzione di codice arbitrario. In termini pratici, questo significava il controllo completo del dispositivo compromesso, aprendo la strada a scenari di spionaggio, furto di dati e installazione di spyware.

L’aspetto più inquietante di questa exploit chain emerge quando la vulnerabilità di dyld viene combinata con falle in altri componenti, in particolare in WebKit, il motore di rendering di Safari. Gli analisti sottolineano come un attacco orchestrato in questo modo richieda un livello minimo di interazione da parte dell’utente: bastano, ad esempio, la visita a un sito web malevolo o l’apertura di un link appositamente preparato. Una volta superato il primo livello di protezione tramite WebKit, l’exploit su dyld consente di oltrepassare la sandbox di sicurezza del sistema, offrendo all’attaccante accesso diretto alle funzionalità più sensibili del dispositivo.

Brian Milbier, ricercatore di Huntress, ha spiegato che la vera criticità non sta solo nella singola vulnerabilità, ma nella possibilità di concatenare più falle per costruire un percorso di compromissione estremamente efficace. Questa metodologia, ormai sempre più diffusa nel panorama delle minacce avanzate, dimostra come la sicurezza dei dispositivi mobili debba essere affrontata in modo olistico, senza sottovalutare nessun anello della catena.

Un ulteriore elemento di interesse riguarda la possibile origine commerciale dell’exploit. Gli esperti di sorveglianza digitale ritengono che la complessità tecnica e la sofisticazione della catena di attacco siano compatibili con strumenti sviluppati da aziende specializzate nella produzione di spyware destinati a clienti istituzionali e governativi. Prodotti come Pegasus e Predator sono ormai tristemente noti per la loro capacità di penetrare anche i sistemi più protetti, e la nuova vulnerabilità potrebbe essere stata utilizzata in contesti simili.

Nonostante la rilevanza di CVE-2026-20700, l’aggiornamento iOS 26.3 ha corretto anche altre falle di sicurezza, alcune delle quali avrebbero potuto consentire l’acquisizione di privilegi di amministrazione o l’accesso a dati riservati. Tuttavia, solo la vulnerabilità scoperta dal Threat Analysis Group di Google risulta confermata come attivamente sfruttata nel mondo reale. In parallelo, Google ha pubblicato informazioni su due gravi vulnerabilità nei propri servizi, risalenti a dicembre, che hanno interessato Chrome su macOS: una relativa a un accesso non autorizzato alla memoria nel layer grafico ANGLE e un’altra, di tipo use-after-free, che avrebbe potuto portare all’esecuzione di codice non autorizzato.

Alla luce di questi sviluppi, la raccomandazione per tutti gli utenti di dispositivi Apple è chiara: installare tempestivamente l’ultimo aggiornamento iOS 26.3. Solo così si può chiudere definitivamente il varco sfruttato da attori malevoli per oltre un decennio, proteggendo i propri dati e la propria privacy da attacco mirato e minacce sempre più sofisticate. L’attenzione alla sicurezza deve restare massima, poiché il panorama delle minacce evolve continuamente e ogni vulnerabilità non risolta può trasformarsi rapidamente in un punto di ingresso per campagne di spionaggio e compromissione su larga scala.