Spyware su dispositivi Apple: l’agenzia francese per la sicurezza informatica svela attività di sorveglianza sofisticate
Il CERT-FR, l’agenzia francese per la sicurezza informatica, ha pubblicato l’11 settembre 2025 un rapporto dettagliato che documenta quattro ondate di notifiche di minacce spyware inviate da Apple a utenti francesi nel corso del 2025, confermando ufficialmente l’esistenza di campagne di sorveglianza altamente sofisticate che prendono di mira giornalisti, avvocati, attivisti e funzionari governativi.
Il documento CERTFR-2025-CTI-010 rappresenta la prima validazione governativa pubblica di questi attacchi, normalmente comunicati privatamente da Apple agli utenti colpiti.
Le quattro campagne di notifiche, avvenute il 5 marzo, 29 aprile, 25 giugno e 3 settembre 2025, hanno rivelato l’uso di vulnerabilità zero-day critiche sfruttate da spyware commerciali come Pegasus (NSO Group), The RecordWikipedia Predator, Graphite e Triangulation. Questi strumenti di sorveglianza mercenaria, che secondo Apple costano “milioni di dollari” per essere sviluppati, utilizzano exploit zero-click che non richiedono alcuna interazione da parte dell’utente per compromettere completamente i dispositivi. Apple Support
La catena di exploit zero-click che preoccupa gli esperti
Al centro del rapporto francese emergono due vulnerabilità critiche concatenate per creare un attacco devastante. La prima, CVE-2025-43300, colpisce il framework ImageIO di Apple con un punteggio CVSS di 8.8 su 10. Questa vulnerabilità di tipo out-of-bounds write si manifesta quando il sistema elabora file DNG (Digital Negative) malformati, dove una discrepanza tra i metadati dichiarati e il contenuto effettivo del file causa una corruzione della memoria che permette l’esecuzione di codice arbitrario.
La seconda vulnerabilità, CVE-2025-55177, sfrutta un difetto nel sistema di sincronizzazione multi-dispositivo di WhatsApp. Con un punteggio CVSS di 8.0, questa falla permette agli attaccanti di bypassare i controlli di autorizzazione e forzare i dispositivi target a elaborare contenuti da URL arbitrari senza alcuna interazione dell’utente.
La combinazione di queste due vulnerabilità ha permesso agli attaccanti di compromettere dispositivi iOS, iPadOS e macOS completamente aggiornati senza che le vittime se ne accorgessero.
Il meccanismo di attacco funziona in tre fasi precise:
1 gli aggressori inviano messaggi di sincronizzazione malevoli attraverso WhatsApp che bypassano i controlli di sicurezza;
2 questi messaggi forzano il dispositivo a scaricare ed elaborare un’immagine DNG appositamente creata;
3 l’elaborazione dell’immagine innesca la vulnerabilità in ImageIO, permettendo l’installazione di spyware sofisticato con privilegi di sistema completi.
I bersagli: giornalisti, attivisti e figure politiche di alto profilo
Il rapporto del CERT-FR conferma che questi attacchi non sono casuali ma mirati specificamente a individui selezionati in base al loro ruolo o funzione. Tra i bersagli identificati figurano giornalisti investigativi, avvocati che si occupano di diritti umani, attivisti politici, membri del parlamento, alti funzionari governativi e dirigenti di settori strategici. In Francia, lo stesso presidente Emmanuel Macron avrebbe cambiato telefono nel 2021 dopo essere stato preso di mira da Pegasus.
A livello internazionale, le vittime confermate includono i giornalisti italiani Ciro Pellegrino e Francesco Cancellato, colpiti dallo spyware Graphite di Paragon Solutions, e numerosi giornalisti indiani tra cui Siddharth Varadarajan e Anand Mangnale, obiettivi di Pegasus. WhatsApp ha confermato che circa 200 utenti a livello globale hanno ricevuto notifiche di minacce relative alla catena di exploit scoperta, su un periodo di 90 giorni.
Dal 2021, Apple ha inviato notifiche di minacce spyware a utenti in oltre 150 paesi,dimostrando la portata globale di queste campagne di sorveglianza. Le notifiche vengono inviate attraverso iMessage, email dall’indirizzo verificato, e appaiono quando gli utenti accedono al loro account iCloud. Apple Support +3
Il mercato degli spyware commerciali: un’industria in espansione
Secondo il rapporto “Mythical Beasts” dell’Atlantic Council pubblicato nel 2025, il mercato globale degli spyware commerciali comprende 561 entità distribuite in 46 paesi, con 130 nuove entità aggiunte nel solo 2024. L’industria è dominata da un cluster israeliano che include NSO Group (Pegasus), Candiru/Saito Tech (DevilsTongue), Paragon Solutions (Graphite) e Cognyte, che rappresenta il 43,9% delle entità identificate con una media operativa di 6 anni e mezzo. Atlantic Council
Particolarmente preoccupante è il triplicarsi degli investimenti statunitensi nel settore, passati da 11 investitori nel 2023 a 31 nel 2024. Investimenti notevoli includono AE Industrial Partners in Paragon Solutions e Integrity Partners in Candiru, dimostrando come le sanzioni vengano aggirate attraverso complesse strutture societarie.
Il 56% degli investitori si concentra in Israele, Stati Uniti, Italia e Regno Unito.
Le aziende del settore utilizzano tattiche sofisticate per evitare controlli e sanzioni, inclusi frequenti cambi di nome (Candiru ha cambiato nome quattro volte in nove anni), l’uso di rivenditori e broker per oscurare i clienti finali, e giochi giurisdizionali attraverso strutture societarie complesse in paradisi fiscali.
La risposta di Apple: Memory Integrity Enforcement e Lockdown Mode
Apple ha risposto alla minaccia con innovazioni tecnologiche significative. La più importante è il Memory Integrity Enforcement (MIE), introdotto negli iPhone 17 e iPhone Air con chip A19/A19 Pro a settembre 2025. Questa tecnologia utilizza l’Enhanced Memory Tagging Extension (EMTE) per proteggere contro le vulnerabilità di corruzione della memoria, rendendo i dispositivi “probabilmente infinitamente più difficili” da compromettere per i creatori di spyware,secondo l’esperto di sicurezza Patrick Wardle.
Il Lockdown Mode, disponibile da iOS 16, offre una protezione estrema per individui ad alto rischio. Quando attivato, disabilita tecnologie web complesse come la compilazione JavaScript just-in-time, blocca la maggior parte dei tipi di allegati nei messaggi eccetto le immagini, limita le chiamate FaceTime solo a contatti precedentemente chiamati negli ultimi 30 giorni, e richiede lo sblocco del dispositivo per le connessioni di accessori.Citizen Lab ha confermato che Lockdown Mode ha bloccato con successo almeno due exploit zero-day (PWNYOURHOME e FINDMYPWN) utilizzati da Pegasus in attacchi reali.
Apple ha anche introdotto le Rapid Security Response per distribuire aggiornamenti di sicurezza critici tra le versioni principali, WikipediaApple Support e ha stretto una partnership con Access Now’s Digital Security Helpline per fornire supporto 24/7 alle vittime di spyware invece di gestire l’analisi forense internamente.
Le raccomandazioni del CERT-FR per la protezione
Il CERT-FR ha fornito raccomandazioni dettagliate divise in misure immediate e preventive. Per chi riceve una notifica di minaccia da Apple, l’agenzia raccomanda di contattare immediatamente il CERT-FR per assistenza tecnica, preservare l’email di notifica come prova, ed evitare modifiche al dispositivo (reset, cancellazioni di app, aggiornamenti, riavvii) che potrebbero interferire con le indagini. CERT-FR
Le misure preventive includono l’aggiornamento immediato dei dispositivi alle versioni più recenti, l’attivazione degli aggiornamenti di sicurezza automatici, l’abilitazione del Lockdown Mode sui dispositivi Apple per una sicurezza migliorata, il riavvio regolare dei dispositivi (idealmente quotidiano), Kaspersky la separazione dell’uso di dispositivi personali e professionali, l’uso di codici di accesso forti e unici, l’abilitazione dell’autenticazione a due fattori, e l’evitare link sospetti e installazioni di app sconosciute.
Per gli ambienti professionali, il CERT-FR raccomanda di fornire dispositivi professionali gestiti e dedicati, monitorare le email dagli indirizzi di notifica delle minacce di Apple, e tenere i dispositivi elettronici fuori dalle riunioni sensibili.
L’impatto sulla sicurezza globale e le reazioni internazionali
La pubblicazione del rapporto francese ha generato reazioni significative a livello internazionale. Gli Stati Uniti hanno risposto con sanzioni del Dipartimento del Commercio contro NSO Group, Wikipedia Candiru e Intellexa, l’Ordine Esecutivo 14093 che proibisce l’uso governativo di spyware commerciali che pongono rischi alla sicurezza nazionale, e sanzioni del Dipartimento del Tesoro contro l’Intellexa Consortium.
CISA ha aggiunto entrambe le vulnerabilità al catalogo delle vulnerabilità sfruttate conosciute (KEV), imponendo scadenze di patching obbligatorie per le agenzie federali.
A livello legale, WhatsApp ha ottenuto un giudizio storico di 167,3 milioni di dollari contro NSO Group nel maggio 2025, stabilendo un precedente importante per future azioni legali contro i fornitori di spyware. Tuttavia, Apple ha ritirato la sua causa contro NSO Group nel settembre 2024, citando i rischi di esporre “informazioni di sicurezza vitali” e la proliferazione di altri fornitori di spyware che rendono il caso meno impattante.
Gli esperti di sicurezza hanno elogiato le misure tecniche di Apple. Halvar Flake, esperto di sicurezza offensiva, ha descritto i nuovi iPhone come “i dispositivi mainstream più sicuri”, mentre TechCrunch ha caratterizzato MIE come potenzialmente in grado di rendere i dispositivi Apple “alcuni dei dispositivi più sicuri del pianeta”. TechCrunch
Strumenti di rilevamento e risposta agli incidenti
Per gli individui preoccupati di possibili compromissioni, sono disponibili diversi strumenti di rilevamento. Il Mobile Verification Toolkit (MVT) di Amnesty International è uno strumento gratuito e open-source che analizza i backup di iTunes/Finder per rilevare Pegasus e altri spyware, generando report dettagliati con potenziali indicatori di compromissione.
iMazing offre una versione GUI user-friendly basata su MVT, con funzionalità di rilevamento spyware gratuita dalla versione 2.14. iMazing
I segnali di una possibile infezione includono scaricamento eccessivo della batteria, pattern di utilizzo dati insoliti, riscaldamento inaspettato del dispositivo, crash o blocchi frequenti, prestazioni lente, e app che appaiono senza installazione.
A livello di rete, connessioni sospette nei log di sistema e pattern di trasmissione dati insoliti possono indicare compromissione.
In caso di sospetta compromissione, il protocollo di risposta immediata prevede l’abilitazione della modalità aereo, la disconnessione dalle reti Wi-Fi, la rimozione della scheda SIM se sicuro, e la documentazione dello stato corrente del dispositivo.
È essenziale creare un backup crittografato prima di qualsiasi modifica, contattare la Digital Security Helpline di Access Now per supporto 24/7, Global Investigative Journalism Network e considerare di contattare le forze dell’ordine per minacce serie.
Il futuro della sicurezza mobile nell’era dello spyware mercenario
Il rapporto del CERT-FR rappresenta un momento cruciale nel riconoscimento pubblico della minaccia rappresentata dagli spyware commerciali. Mentre le innovazioni tecnologiche di Apple come MIE e Lockdown Mode offrono protezioni significative, la corsa agli armamenti tra difensori e attaccanti continua ad intensificarsi. Il mercato degli spyware commerciali mostra una crescita preoccupante, con nuovi attori e investimenti che entrano costantemente nel settore nonostante sanzioni e pressioni internazionali
Per gli individui ad alto rischio, la protezione richiede un approccio multilivello che combina le più recenti tecnologie di sicurezza, pratiche operative rigorose, e consapevolezza costante delle minacce emergenti. Le organizzazioni devono implementare framework di gestione dei dispositivi mobili (MDM) completi, politiche di sicurezza basate sul rischio, e procedure di risposta agli incidenti ben definite.
Il caso francese dimostra l’importanza della trasparenza governativa nel documentare queste minacce. Mentre Apple continua a inviare notifiche di minacce a utenti in tutto il mondo, la collaborazione tra settore privato, governi e società civile rimane essenziale per proteggere i diritti umani fondamentali nell’era digitale.
La battaglia contro lo spyware mercenario non è solo una questione tecnica, ma una sfida fondamentale per la democrazia, la libertà di stampa e i diritti umani nel XXI secolo.
L’articolo Spyware su dispositivi Apple: l’agenzia francese per la sicurezza informatica svela attività di sorveglianza sofisticate proviene da Difesa Online.
Il CERT-FR, l’agenzia francese per la sicurezza informatica, ha pubblicato l’11 settembre 2025 un rapporto dettagliato che documenta quattro ondate di notifiche di minacce spyware inviate da Apple a utenti francesi nel corso del 2025, confermando ufficialmente l’esistenza di campagne…
L’articolo Spyware su dispositivi Apple: l’agenzia francese per la sicurezza informatica svela attività di sorveglianza sofisticate proviene da Difesa Online.
Per approfondimenti consulta la fonte
Go to Source
