Condividi:

Zero-click, spyware e il mito dell'iPhone invulnerabile: come proteggere davvero lo smartphone

Per anni ci hanno detto due cose rassicuranti: che gli attacchi informatici dipendono quasi sempre da un errore umano, e che con un iPhone si è comunque al sicuro. Entrambe le convinzioni sono superate. I nuovi spyware non aspettano che tu sbagli, e Apple non è più la fortezza inespugnabile che era un tempo.

Hai il sospetto che qualcuno stia controllando il tuo telefono? La nostra analisi forense rileva spyware invisibili.

Richiedi una verifica

Il mito dell'errore umano: perché non racconta più tutta la storia

L'idea che "basta fare attenzione" ha dominato la comunicazione sulla sicurezza digitale per un decennio abbondante, ed è vera solo a metà. I vettori classici — phishing, ingegneria sociale, password deboli — sono ancora diffusissimi e pericolosi, ma raccontano soltanto una parte dello scenario attuale.

Quello che cambia con gli attacchi di ultima generazione è che l'utente viene completamente escluso dall'equazione: nessuna scelta sbagliata da compiere, nessun errore da evitare. Il malware entra perché il dispositivo ha una vulnerabilità non ancora patchata, o perché un sito legittimo che visiti normalmente è stato compromesso. La tua prudenza, da sola, non ti protegge.

Attenzione però: questo non significa abbandonare le buone pratiche. Significa che da sole non bastano più — e che serve capire anche i vettori che prescindono dal tuo comportamento.

Il secondo mito da sfatare: con un iPhone sei al sicuro al 100%

C'è una convinzione molto diffusa, e altrettanto datata, secondo cui possedere un iPhone equivalga ad essere automaticamente al riparo da virus, malware e spionaggio. Questa percezione nasce da motivi reali ma ormai parziali: per anni l'ecosistema chiuso di Apple, il controllo rigido sull'App Store e l'architettura di sandboxing hanno effettivamente reso iOS un bersaglio più complesso da colpire rispetto ad Android. Il problema è che "più complesso" non ha mai significato "impossibile" — e oggi quella differenza si è ridotta molto.

Pegasus e Graphite sono stati sviluppati e perfezionati proprio per colpire iPhone, sfruttando vulnerabilità zero-day in iMessage, FaceTime e nel motore WebKit. I watering hole attack basati su WebKit colpiscono indifferentemente iOS e Android. Più un dispositivo diventa diffuso e prezioso come target — e gli iPhone lo sono moltissimo, per concentrazione di utenti ad alto profilo — più diventa economicamente conveniente investire in exploit dedicati.

Il punto chiave: "più sicuro di Android" e "invulnerabile" sono due affermazioni completamente diverse. iOS resta un sistema con un buon livello di sicurezza di base, ma chi pensa di non aver bisogno di alcuna precauzione aggiuntiva sta operando su un'informazione vecchia di un decennio.

Perché serve un livello di protezione attivo anche su iPhone

Aggiornamenti tempestivi e attenzione ai link restano fondamentali, ma coprono solo una parte dello scenario di rischio reale. Un antivirus/security suite mobile aggiunge una rete di sicurezza che intercetta phishing, siti malevoli, app rischiose e tentativi di furto di credenziali — i vettori più diffusi in assoluto, anche se meno spettacolari degli zero-click. È anche il tipo di strumento che monitora automaticamente i segnali anomali che analizzeremo più avanti: traffico dati sospetto in background, permessi insoliti, comportamenti di rete che un utente difficilmente noterebbe da solo.

Una raccomandazione concreta, non sponsorizzata: nel nostro studio utilizziamo quotidianamente Trend Micro Mobile Security, lo abbiamo testato a fondo e lo proponiamo ai clienti per esperienza diretta, non per accordo commerciale. Le licenze multi-dispositivo (Maximum Security) permettono di proteggere con un unico abbonamento computer e smartphone — Windows, macOS, Android e iOS inclusi — semplificando la gestione della sicurezza per chi usa più device in parallelo.

E su Android? Una superficie di rischio diversa, non minore

Concentrarsi solo su iPhone sarebbe uno squilibrio altrettanto fuorviante quanto credere che iOS sia invulnerabile. Android affronta una categoria di rischi in parte diversa, legata non tanto alla sofisticazione dei singoli exploit quanto alla struttura stessa dell'ecosistema.

Il problema della frammentazione

A differenza di iOS, dove Apple controlla hardware e software distribuendo aggiornamenti direttamente a tutti i dispositivi supportati, Android dipende da una catena che coinvolge Google, il singolo produttore (Samsung, Xiaomi, Oppo e decine di altri) e in alcuni casi anche l'operatore. Il risultato è un ritardo strutturale nella distribuzione delle patch senza equivalenti nel mondo Apple.

Il dato che fa la differenza: secondo le statistiche ufficiali diffuse da Google, oltre il 42% degli smartphone Android attivi nel mondo — più di un miliardo di dispositivi — utilizza versioni del sistema operativo non più coperte da patch di sicurezza (Android 12 o precedenti). Solo il 58% monta Android 13 o versioni successive. Anche tra i dispositivi aggiornabili, storicamente meno del 40-50% riceve la patch entro 30 giorni dal rilascio del bollettino mensile.

Sideloading e permessi: la superficie d'attacco volontaria

Android consente nativamente il sideloading — l'installazione di app da fonti esterne al Play Store — con vantaggi legittimi ma anche un vettore di rischio che su iPhone non esiste allo stesso modo: un'app da store non verificato non passa gli stessi controlli di sicurezza, e può richiedere permessi estesi (microfono, posizione, notifiche) senza le stesse barriere di approvazione.

  • Disattiva il sideloading se non hai un motivo specifico e consapevole per usarlo.
  • Controlla periodicamente i permessi delle app in Impostazioni → Privacy → Gestione autorizzazioni e revoca quelli non necessari.
  • Verifica il livello di patch di sicurezza del tuo dispositivo in Impostazioni → Informazioni sul telefono: se è fermo da più di 2-3 mesi e il produttore non rilascia più aggiornamenti, considera la sostituzione.
  • Usa Google Play Protect (Play Store → profilo → Play Protect) come prima scansione automatica delle app installate.

Cosa sono gli attacchi zero-click: la timeline interattiva

Un attacco zero-click si articola in fasi precise. Su desktop esplora ogni fase con i tab qui sotto; su mobile espandi le sezioni che ti interessano.

1
Ricognizione
Target selezionato, OSINT e scelta dell'exploit zero-day
OSINT
2
Consegna exploit
Messaggio silenzioso inviato — zero azioni richieste all'utente
Silent push
3
Break-in
Vulnerabilità zero-day sfruttata, sandbox elusa, privilegi root
Privilege escalation
4
Installazione
Spyware invisibile attivo, persistenza e canale C2 cifrato
Anti-forensics
5
Esfiltrazione
Messaggi, GPS, microfono e fotocamera trasmessi in background
Data exfiltration

Watering hole attack: quando il pericolo è nel sito che visiti ogni giorno

Diverso dagli zero-click ma ugualmente insidioso è il cosiddetto "watering hole attack" — l'attacco all'abbeveratoio. Invece di inseguire la preda, l'attaccante avvelena il punto d'acqua dove sa che la preda si abbevera regolarmente: compromette un sito web legittimo che la vittima frequenta abitualmente.

Il meccanismo tipico su mobile sfrutta vulnerabilità nel motore WebKit, che gestisce il rendering web in Safari su iOS e in molte app native. Una pagina appositamente costruita, servita dal sito compromesso, esegue codice arbitrario nel momento in cui il browser carica la pagina. L'utente non deve fare nulla: è sufficiente visitare il sito.

Il vantaggio per l'attaccante: invece di doversi avvicinare direttamente alla vittima, ci si posiziona in un luogo che frequenta spontaneamente. Il numero di potenziali bersagli si moltiplica con ogni visita al sito compromesso — e nessuno dei visitatori fa nulla di sbagliato.

Pegasus vs Graphite: le differenze che contano

Caratteristica Pegasus (NSO Group) Graphite (Paragon Solutions)
PiattaformeiOS e AndroidiOS e Android
Vettore principaleiMessage, WhatsApp, link webNotifiche push, messaggistica
Interazione utenteZero (zero-click)Zero o minima
Accesso ottenutoRoot / kernel levelRoot / sandbox bypass
Messaggi cifrati (WhatsApp/Signal)Intercettati prima cifraturaIntercettati prima cifratura
Microfono/fotocamera remotiSì, in qualsiasi momento
GPS in tempo realeSì, tracking continuo
Auto-eliminazione se rilevatoSì (versioni recenti)
Target tipicoGiornalisti, attivisti, politiciTarget ad alto valore, corporate
Rilevabile con scan standardNo — serve analisi forenseNo — serve analisi forense

Nota importante: sia Pegasus che Graphite sono classificati come "lawful intercept tools" e venduti ufficialmente solo a governi e forze dell'ordine. Questo non impedisce che vengano usati contro giornalisti, avvocati, attivisti e dirigenti, come ampiamente documentato da indagini internazionali indipendenti.

Il Pegasus Project: i numeri di un caso reale, non un'ipotesi teorica

Nel luglio 2021 un consorzio di oltre 80 giornalisti di 17 testate internazionali, coordinato dall'organizzazione no-profit Forbidden Stories con il supporto tecnico del Security Lab di Amnesty International, ha pubblicato i risultati di un'indagine sull'uso dello spyware Pegasus da parte di clienti governativi di NSO Group.

I numeri: una lista di oltre 50.000 numeri di telefono in più di 50 paesi, identificati come potenziali bersagli tra il 2016 e il 2021. Su 67 dispositivi analizzati forensicamente, 37 hanno confermato l'infezione effettiva o segnali concreti di tentativo — un tasso superiore al 55%. Tra le persone identificate figurano almeno 180 giornalisti, oltre 600 funzionari governativi di 34 stati, e diversi capi di stato tra cui l'allora presidente francese Emmanuel Macron.

Il caso che ha reso pubblico il problema: il telefono di Hatice Cengiz, fidanzata del giornalista Jamal Khashoggi, risultò infettato da Pegasus quattro giorni prima del suo assassinio a Istanbul (2 ottobre 2018). Questo caso, insieme ad altri, ha spinto gli Stati Uniti a inserire NSO Group in una blocklist commerciale nel novembre 2021 e Apple ad avviare una causa legale contro l'azienda.

Il punto non è allarmismo: la grande maggioranza delle persone non sarà mai un bersaglio di Pegasus, strumento costoso riservato a target di alto profilo. Il punto è che il rischio descritto in questo articolo non è teorico: è documentato, verificato con metodologia forense pubblica, e tuttora attivo — il Security Lab di Amnesty International ha confermato nuovi casi anche negli anni successivi al 2021, inclusi episodi in Europa. La documentazione completa è consultabile su Amnesty International Security Lab.

Sei un professionista, un giornalista o un dirigente e vuoi sapere se il tuo dispositivo è stato compromesso?

Analisi forense del dispositivo

Segnali d'allarme: come capire se il tuo smartphone potrebbe essere compromesso

Gli spyware avanzati sono progettati per essere invisibili, ma la perfezione non esiste nemmeno in questo campo. Alcuni comportamenti anomali possono indicare — non certificare, ma indicare — la presenza di software non autorizzato in esecuzione in background. Nessuno di questi segnali è conclusivo da solo, ma una combinazione di più indicatori merita un approfondimento professionale.

🔋
Batteria che si scarica anomalmente

Uno spyware in esecuzione consuma CPU, GPS e radio in background. Se la durata della batteria si riduce drasticamente senza variazioni nel tuo uso, è un segnale da indagare.

Rilevanza alta
📶
Traffico dati anomalo in background

L'esfiltrazione continua verso un server C2 genera traffico misurabile. Controlla le statistiche dati nelle impostazioni: un consumo anomalo di dati di sistema merita attenzione.

Rilevanza alta
🌡️
Surriscaldamento senza uso attivo

Il dispositivo si scalda in standby, in tasca, sul comodino. CPU e GPS in esecuzione continua generano calore rilevabile anche senza app aperte in primo piano.

Rilevanza alta
💡
Indicatori fotocamera/microfono

Su iOS 14+ e Android 12+ compaiono indicatori visivi (punto arancione/verde) quando fotocamera o microfono sono in uso. Se li vedi senza aver aperto app che li richiedono, è un segnale importante.

Rilevanza alta
📲
Messaggi inviati a tua insaputa

Contatti che ti riferiscono messaggi che non ricordi di aver inviato, o richieste di amicizia e link usciti dal tuo profilo. Può indicare accesso remoto ai tuoi account.

Rilevanza alta
🔐
Accessi sospetti agli account

Notifiche di accesso da posizioni geografiche inusuali, password cambiate senza tua iniziativa, 2FA bypassata. Segnali che qualcuno potrebbe avere accesso alle tue credenziali.

Rilevanza alta
📵
Rumori anomali durante le chiamate

Interferenze, rumori di fondo insoliti, disconnessioni improvvise. Non sono prova di intercettazione, ma su alcuni sistemi di intercettazione attiva possono comparire.

Rilevanza media
🐌
Rallentamento anomalo

Gli spyware avanzati sono ottimizzati per non rallentare il dispositivo, ma versioni meno sofisticate o una combinazione di processi attivi può causare lag insoliti.

Rilevanza bassa (da sola)

Attenzione alle false rassicurazioni: l'assenza di questi segnali NON garantisce che il dispositivo sia pulito. Pegasus e Graphite nelle versioni più recenti sono progettati per non lasciare tracce rilevabili all'occhio umano. Solo un'analisi forense con tool specializzati — come iVerify di Bit4Law, lo strumento che utilizziamo nei nostri accertamenti — può escludere con certezza la presenza di alcuni spyware noti. Vale la pena ricordare che i segnali di traffico anomalo, permessi sospetti e comportamenti di rete insoliti descritti sopra sono esattamente quelli che una security suite come Trend Micro Mobile Security è progettata per intercettare in automatico — riducendo così la dipendenza dall'attenzione manuale dell'utente.

Confronto tra vettori d'attacco: cosa cambia per l'utente

Tipo di attacco Azione richiesta all'utente La prudenza aiuta? Principale difesa
Phishing classicoClic su link + inserimento datiSì, moltoRiconoscere i segnali del phishing
App da store non ufficialiDownload e installazione manualeUsare solo store ufficiali
Smishing (SMS phishing)Clic su link nel messaggioNon cliccare link da SMS inattesi
Zero-click exploitNessunaNo (diretta)Aggiornamenti OS tempestivi, Lockdown Mode
Watering hole attackVisitare un sito (anche legittimo)PocoAggiornamenti browser/OS, limitare navigazione
CommWarrior (storico, 2004)Accettare prompt di installazioneSì, moltoNon accettare installazioni sconosciute

Come proteggersi concretamente: le contromisure che funzionano

Ridimensionare il mito dell'errore umano non equivale a rassegnarsi. Esistono misure concrete che riducono significativamente il rischio, anche contro i vettori più sofisticati — l'obiettivo è aumentare il costo dell'attacco per l'attaccante, riducendo la superficie esposta.

Priorità assoluta: aggiornamenti di sicurezza

Gli exploit zero-click sfruttano vulnerabilità specifiche del sistema operativo. Quando Apple o Google rilasciano una patch, quella vulnerabilità viene tappata sui dispositivi aggiornati — l'exploit smette di funzionare. La finestra tra la scoperta della vulnerabilità e il momento in cui aggiorni è il momento di massimo rischio: accorciarla è la misura più efficace disponibile all'utente comune.

  • Abilita gli aggiornamenti automatici per iOS/Android e per tutte le app installate.
  • Non rimandare le patch di sicurezza: ogni giorno di ritardo è una finestra aperta. Gli aggiornamenti contrassegnati come "Security Update" o "Patch di sicurezza" sono prioritari.
  • Sostituisci dispositivi con OS non supportato: un iPhone con iOS 15 o un Android senza più aggiornamenti è esposto per definizione.
  • Riduci la superficie d'attacco disinstallando le app che non usi più.
  • Limita i permessi delle app al minimo indispensabile: revoca quelli non necessari nelle impostazioni di privacy.
  • Usa solo store ufficiali (App Store, Google Play). Le app da fonti esterne non passano i controlli di sicurezza delle piattaforme.
  • Verifica sempre il mittente di link ricevuti, anche da contatti noti: un dispositivo compromesso può inviare messaggi all'insaputa del proprietario.
  • Attiva il Lockdown Mode su iPhone se sei a rischio elevato (giornalista, avvocato, funzionario, attivista). Disabilita le funzionalità di iMessage più sfruttate dagli exploit zero-click.
  • Installa una protezione antivirus anche su smartphone, iPhone incluso: non blocca gli zero-day ma copre i vettori quotidiani più diffusi. Le suite multi-device proteggono computer e telefono con un'unica licenza.
  • Utilizza strumenti di verifica forense come iVerify di Bit4Law per una scansione periodica del dispositivo — ma considera che gli spyware più recenti possono eludere anche i tool di analisi più avanzati: in caso di sospetto fondato, l'unica certezza viene da una perizia forense professionale.

Il Lockdown Mode di Apple (iOS 16+, iPadOS 16+, macOS Ventura+) è stato introdotto esplicitamente come risposta a spyware come Pegasus. Disabilita la maggior parte delle funzionalità di iMessage vettore di exploit zero-click, blocca profili di configurazione non firmati, limita le connessioni USB e molto altro. Per saperne di più: guida Apple al Lockdown Mode.

Una breve storia: da CommWarrior ai malware invisibili

Nel 2004, uno dei primi worm per smartphone della storia — CommWarrior, per i Nokia Series 60 — si diffondeva via Bluetooth e MMS chiedendo esplicitamente all'utente il permesso di installarsi con una finestra di dialogo ("Install CommWarrior? Yes / No"). Richiedeva un'azione deliberata — e un certo grado di ingenuità — da parte di chi lo riceveva.

Vent'anni dopo, gli scenari sono incomparabili: nessuna finestra di dialogo, nessun permesso richiesto, nessuna icona visibile, nessun rallentamento evidente. L'installazione avviene in secondi, la comunicazione con l'esterno è cifrata e mimetizzata nel traffico legittimo, la persistenza sopravvive ai riavvii e le versioni più avanzate si autodistruggono se riconoscono un ambiente di analisi forense. Il gap evolutivo tra quello che l'utente può vedere e quello che uno spyware moderno fa è diventato abissale.

Hai bisogno di una verifica forense professionale?

Se hai riscontrato più di uno dei segnali descritti sopra, se sei una figura professionale esposta o hai semplicemente il sospetto fondato che qualcuno stia controllando le tue comunicazioni, un'analisi forense professionale è l'unico strumento in grado di darti una risposta certa. La nostra analisi include l'esame forense del dispositivo con strumenti certificati, la ricerca di indicatori di compromissione (IoC) per i principali spyware noti, un report tecnico utilizzabile in sede legale e le raccomandazioni operative per il ripristino della sicurezza.

Pensi che il tuo smartphone sia sotto controllo?
I nostri periti informatici forensi eseguono analisi certificate su dispositivi iOS e Android. Report tecnico con valore legale.

Domande frequenti sugli attacchi zero-click e spyware mobile

Cosa sono esattamente gli attacchi zero-click?

Tecniche di intrusione che non richiedono alcuna azione da parte della vittima: nessun link da aprire, nessun file da scaricare, nessun messaggio a cui rispondere. Lo spyware viene installato sfruttando vulnerabilità nei protocolli di comunicazione (iMessage, WhatsApp, FaceTime) o in librerie di sistema. Il payload arriva come contenuto che il sistema operativo elabora automaticamente in background, prima che tu veda o faccia qualsiasi cosa.

È vero che con un iPhone si è protetti al 100% da virus e spyware?

No, è una convinzione superata. iOS ha un'architettura di base più chiusa rispetto ad Android, ma questo non equivale a invulnerabilità. Spyware come Pegasus e Graphite sono stati sviluppati appositamente per colpire iPhone tramite vulnerabilità zero-day in iMessage, FaceTime e nel motore WebKit. Gli iPhone, proprio per il valore simbolico e la concentrazione di target ad alto profilo, sono diventati un obiettivo molto ricercato.

Serve davvero un antivirus su smartphone, anche su iPhone?

Sì, ha senso. Un antivirus mobile non blocca un exploit zero-day appena scoperto — nessun software ci riesce — ma protegge concretamente contro i vettori più diffusi: phishing, siti malevoli, app rischiose, furto di credenziali. Nel nostro studio utilizziamo e proponiamo ai clienti Trend Micro Mobile Security, testato direttamente sul campo: le licenze multi-device permettono di proteggere con un solo abbonamento sia computer che smartphone, su Windows, macOS, Android e iOS.

Come faccio a sapere se il mio smartphone è stato compromesso?

I segnali sospetti includono: batteria che si scarica molto più velocemente del solito, consumo anomalo di dati mobili in background, surriscaldamento del dispositivo anche a riposo, indicatori di fotocamera o microfono attivi senza aver aperto app che li richiedono, messaggi inviati a tua insaputa. Gli spyware avanzati come Pegasus sono però specificamente progettati per essere invisibili: l'assenza di questi segnali non garantisce che il dispositivo sia pulito. Solo un'analisi forense professionale può accertarlo con certezza.

Pegasus può infettare anche i telefoni Android, o solo iPhone?

Pegasus e spyware analoghi hanno versioni per entrambe le piattaforme principali. iOS è stato storicamente il target privilegiato, ma Android è ugualmente vulnerabile. La maggiore frammentazione di Android — aggiornamenti dipendenti dal produttore — tende a mantenere un numero maggiore di dispositivi esposti a vulnerabilità note più a lungo. Secondo dati Google, oltre il 42% degli smartphone Android attivi nel mondo usa versioni non più coperte da patch di sicurezza.

Quanti sono stati davvero i bersagli dello spyware Pegasus?

Il Pegasus Project (luglio 2021, Forbidden Stories + Amnesty International + 17 testate) ha identificato oltre 50.000 numeri di telefono in più di 50 paesi come potenziali bersagli tra il 2016 e il 2021. Su 67 dispositivi analizzati forensicamente, 37 hanno mostrato conferme di infezione o tentativi — tasso superiore al 55%. Tra le persone coinvolte: almeno 180 giornalisti, oltre 600 funzionari governativi di 34 stati e diversi capi di stato. Non è uno scenario teorico: è documentato con metodologia forense pubblica verificabile.

La crittografia end-to-end protegge dalle intercettazioni tramite spyware?

No, non contro questo tipo di attacco. La cifratura end-to-end protegge i dati in transito, ma uno spyware con accesso root intercetta i messaggi direttamente nell'applicazione, prima della cifratura in uscita e dopo la decifratura in arrivo. WhatsApp, Signal, Telegram: inutili contro un dispositivo già compromesso a livello di sistema. La crittografia difende dal provider o dall'operatore di rete, non da un attaccante che ha già il controllo del dispositivo.

Aggiornare il sistema operativo è davvero così importante?

È la misura singola più efficace a disposizione dell'utente comune. La quasi totalità degli exploit zero-click sfrutta vulnerabilità specifiche del sistema operativo. Quando Apple o Google rilasciano una patch, quella vulnerabilità viene tappata — l'exploit smette di funzionare sui dispositivi aggiornati. Il rischio è massimo nell'intervallo tra la scoperta della vulnerabilità e il momento in cui aggiorni. Abilitare gli aggiornamenti automatici riduce al minimo questa finestra.

Cos'è il Lockdown Mode di Apple e per chi è consigliato?

Il Lockdown Mode (iOS 16+, macOS Ventura+) è una modalità di sicurezza estrema introdotta da Apple in risposta a spyware come Pegasus. Disabilita la maggior parte delle funzionalità di iMessage sfruttate dagli exploit zero-click, blocca anteprime di link, limita connessioni USB e profili di configurazione non firmati. È pensato per chi affronta rischi reali e significativi: giornalisti investigativi, avvocati su casi sensibili, attivisti, funzionari governativi. Per l'utente medio non è necessario.

Cosa succede se trovo segnali di compromissione sul mio dispositivo?

Prima di tutto, non spegnere il dispositivo né effettuare un reset di fabbrica: queste azioni possono cancellare le evidenze necessarie per un'analisi forense. Contatta subito un perito informatico forense per un'acquisizione forense prima di qualsiasi intervento. Se la compromissione è confermata, cambia tutte le password da un dispositivo diverso e valuta una denuncia alle autorità competenti.

Approfondisci su peritidigitali.it

Se questo argomento ti riguarda da vicino, leggi anche questi articoli del nostro blog:

Condividi: