Zero-click, spyware e il mito dell'iPhone invulnerabile: come proteggere davvero lo smartphone
Per anni ci hanno detto due cose rassicuranti: che gli attacchi informatici dipendono quasi sempre da un errore umano, e che con un iPhone si è comunque al sicuro. Entrambe le convinzioni sono superate. I nuovi spyware non aspettano che tu sbagli, e Apple non è più la fortezza inespugnabile che era un tempo.
Hai il sospetto che qualcuno stia controllando il tuo telefono? La nostra analisi forense rileva spyware invisibili.
Richiedi una verificaIl mito dell'errore umano: perché non racconta più tutta la storia
L'idea che "basta fare attenzione" ha dominato la comunicazione sulla sicurezza digitale per un decennio abbondante, ed è vera solo a metà. I vettori classici — phishing, ingegneria sociale, password deboli — sono ancora diffusissimi e pericolosi, ma raccontano soltanto una parte dello scenario attuale.
Quello che cambia con gli attacchi di ultima generazione è che l'utente viene completamente escluso dall'equazione: nessuna scelta sbagliata da compiere, nessun errore da evitare. Il malware entra perché il dispositivo ha una vulnerabilità non ancora patchata, o perché un sito legittimo che visiti normalmente è stato compromesso. La tua prudenza, da sola, non ti protegge.
Attenzione però: questo non significa abbandonare le buone pratiche. Significa che da sole non bastano più — e che serve capire anche i vettori che prescindono dal tuo comportamento.
Il secondo mito da sfatare: con un iPhone sei al sicuro al 100%
C'è una convinzione molto diffusa, e altrettanto datata, secondo cui possedere un iPhone equivalga ad essere automaticamente al riparo da virus, malware e spionaggio. Questa percezione nasce da motivi reali ma ormai parziali: per anni l'ecosistema chiuso di Apple, il controllo rigido sull'App Store e l'architettura di sandboxing hanno effettivamente reso iOS un bersaglio più complesso da colpire rispetto ad Android. Il problema è che "più complesso" non ha mai significato "impossibile" — e oggi quella differenza si è ridotta molto.
Pegasus e Graphite sono stati sviluppati e perfezionati proprio per colpire iPhone, sfruttando vulnerabilità zero-day in iMessage, FaceTime e nel motore WebKit. I watering hole attack basati su WebKit colpiscono indifferentemente iOS e Android. Più un dispositivo diventa diffuso e prezioso come target — e gli iPhone lo sono moltissimo, per concentrazione di utenti ad alto profilo — più diventa economicamente conveniente investire in exploit dedicati.
Il punto chiave: "più sicuro di Android" e "invulnerabile" sono due affermazioni completamente diverse. iOS resta un sistema con un buon livello di sicurezza di base, ma chi pensa di non aver bisogno di alcuna precauzione aggiuntiva sta operando su un'informazione vecchia di un decennio.
Perché serve un livello di protezione attivo anche su iPhone
Aggiornamenti tempestivi e attenzione ai link restano fondamentali, ma coprono solo una parte dello scenario di rischio reale. Un antivirus/security suite mobile aggiunge una rete di sicurezza che intercetta phishing, siti malevoli, app rischiose e tentativi di furto di credenziali — i vettori più diffusi in assoluto, anche se meno spettacolari degli zero-click. È anche il tipo di strumento che monitora automaticamente i segnali anomali che analizzeremo più avanti: traffico dati sospetto in background, permessi insoliti, comportamenti di rete che un utente difficilmente noterebbe da solo.
Una raccomandazione concreta, non sponsorizzata: nel nostro studio utilizziamo quotidianamente Trend Micro Mobile Security, lo abbiamo testato a fondo e lo proponiamo ai clienti per esperienza diretta, non per accordo commerciale. Le licenze multi-dispositivo (Maximum Security) permettono di proteggere con un unico abbonamento computer e smartphone — Windows, macOS, Android e iOS inclusi — semplificando la gestione della sicurezza per chi usa più device in parallelo.
E su Android? Una superficie di rischio diversa, non minore
Concentrarsi solo su iPhone sarebbe uno squilibrio altrettanto fuorviante quanto credere che iOS sia invulnerabile. Android affronta una categoria di rischi in parte diversa, legata non tanto alla sofisticazione dei singoli exploit quanto alla struttura stessa dell'ecosistema.
Il problema della frammentazione
A differenza di iOS, dove Apple controlla hardware e software distribuendo aggiornamenti direttamente a tutti i dispositivi supportati, Android dipende da una catena che coinvolge Google, il singolo produttore (Samsung, Xiaomi, Oppo e decine di altri) e in alcuni casi anche l'operatore. Il risultato è un ritardo strutturale nella distribuzione delle patch senza equivalenti nel mondo Apple.
Il dato che fa la differenza: secondo le statistiche ufficiali diffuse da Google, oltre il 42% degli smartphone Android attivi nel mondo — più di un miliardo di dispositivi — utilizza versioni del sistema operativo non più coperte da patch di sicurezza (Android 12 o precedenti). Solo il 58% monta Android 13 o versioni successive. Anche tra i dispositivi aggiornabili, storicamente meno del 40-50% riceve la patch entro 30 giorni dal rilascio del bollettino mensile.
Sideloading e permessi: la superficie d'attacco volontaria
Android consente nativamente il sideloading — l'installazione di app da fonti esterne al Play Store — con vantaggi legittimi ma anche un vettore di rischio che su iPhone non esiste allo stesso modo: un'app da store non verificato non passa gli stessi controlli di sicurezza, e può richiedere permessi estesi (microfono, posizione, notifiche) senza le stesse barriere di approvazione.
- Disattiva il sideloading se non hai un motivo specifico e consapevole per usarlo.
- Controlla periodicamente i permessi delle app in Impostazioni → Privacy → Gestione autorizzazioni e revoca quelli non necessari.
- Verifica il livello di patch di sicurezza del tuo dispositivo in Impostazioni → Informazioni sul telefono: se è fermo da più di 2-3 mesi e il produttore non rilascia più aggiornamenti, considera la sostituzione.
- Usa Google Play Protect (Play Store → profilo → Play Protect) come prima scansione automatica delle app installate.
Cosa sono gli attacchi zero-click: la timeline interattiva
Un attacco zero-click si articola in fasi precise. Su desktop esplora ogni fase con i tab qui sotto; su mobile espandi le sezioni che ti interessano.
Watering hole attack: quando il pericolo è nel sito che visiti ogni giorno
Diverso dagli zero-click ma ugualmente insidioso è il cosiddetto "watering hole attack" — l'attacco all'abbeveratoio. Invece di inseguire la preda, l'attaccante avvelena il punto d'acqua dove sa che la preda si abbevera regolarmente: compromette un sito web legittimo che la vittima frequenta abitualmente.
Il meccanismo tipico su mobile sfrutta vulnerabilità nel motore WebKit, che gestisce il rendering web in Safari su iOS e in molte app native. Una pagina appositamente costruita, servita dal sito compromesso, esegue codice arbitrario nel momento in cui il browser carica la pagina. L'utente non deve fare nulla: è sufficiente visitare il sito.
Il vantaggio per l'attaccante: invece di doversi avvicinare direttamente alla vittima, ci si posiziona in un luogo che frequenta spontaneamente. Il numero di potenziali bersagli si moltiplica con ogni visita al sito compromesso — e nessuno dei visitatori fa nulla di sbagliato.
Pegasus vs Graphite: le differenze che contano
| Caratteristica | Pegasus (NSO Group) | Graphite (Paragon Solutions) |
|---|---|---|
| Piattaforme | iOS e Android | iOS e Android |
| Vettore principale | iMessage, WhatsApp, link web | Notifiche push, messaggistica |
| Interazione utente | Zero (zero-click) | Zero o minima |
| Accesso ottenuto | Root / kernel level | Root / sandbox bypass |
| Messaggi cifrati (WhatsApp/Signal) | Intercettati prima cifratura | Intercettati prima cifratura |
| Microfono/fotocamera remoti | Sì, in qualsiasi momento | Sì |
| GPS in tempo reale | Sì, tracking continuo | Sì |
| Auto-eliminazione se rilevato | Sì (versioni recenti) | Sì |
| Target tipico | Giornalisti, attivisti, politici | Target ad alto valore, corporate |
| Rilevabile con scan standard | No — serve analisi forense | No — serve analisi forense |
Nota importante: sia Pegasus che Graphite sono classificati come "lawful intercept tools" e venduti ufficialmente solo a governi e forze dell'ordine. Questo non impedisce che vengano usati contro giornalisti, avvocati, attivisti e dirigenti, come ampiamente documentato da indagini internazionali indipendenti.
Il Pegasus Project: i numeri di un caso reale, non un'ipotesi teorica
Nel luglio 2021 un consorzio di oltre 80 giornalisti di 17 testate internazionali, coordinato dall'organizzazione no-profit Forbidden Stories con il supporto tecnico del Security Lab di Amnesty International, ha pubblicato i risultati di un'indagine sull'uso dello spyware Pegasus da parte di clienti governativi di NSO Group.
I numeri: una lista di oltre 50.000 numeri di telefono in più di 50 paesi, identificati come potenziali bersagli tra il 2016 e il 2021. Su 67 dispositivi analizzati forensicamente, 37 hanno confermato l'infezione effettiva o segnali concreti di tentativo — un tasso superiore al 55%. Tra le persone identificate figurano almeno 180 giornalisti, oltre 600 funzionari governativi di 34 stati, e diversi capi di stato tra cui l'allora presidente francese Emmanuel Macron.
Il caso che ha reso pubblico il problema: il telefono di Hatice Cengiz, fidanzata del giornalista Jamal Khashoggi, risultò infettato da Pegasus quattro giorni prima del suo assassinio a Istanbul (2 ottobre 2018). Questo caso, insieme ad altri, ha spinto gli Stati Uniti a inserire NSO Group in una blocklist commerciale nel novembre 2021 e Apple ad avviare una causa legale contro l'azienda.
Il punto non è allarmismo: la grande maggioranza delle persone non sarà mai un bersaglio di Pegasus, strumento costoso riservato a target di alto profilo. Il punto è che il rischio descritto in questo articolo non è teorico: è documentato, verificato con metodologia forense pubblica, e tuttora attivo — il Security Lab di Amnesty International ha confermato nuovi casi anche negli anni successivi al 2021, inclusi episodi in Europa. La documentazione completa è consultabile su Amnesty International Security Lab.
Sei un professionista, un giornalista o un dirigente e vuoi sapere se il tuo dispositivo è stato compromesso?
Analisi forense del dispositivoSegnali d'allarme: come capire se il tuo smartphone potrebbe essere compromesso
Gli spyware avanzati sono progettati per essere invisibili, ma la perfezione non esiste nemmeno in questo campo. Alcuni comportamenti anomali possono indicare — non certificare, ma indicare — la presenza di software non autorizzato in esecuzione in background. Nessuno di questi segnali è conclusivo da solo, ma una combinazione di più indicatori merita un approfondimento professionale.
Uno spyware in esecuzione consuma CPU, GPS e radio in background. Se la durata della batteria si riduce drasticamente senza variazioni nel tuo uso, è un segnale da indagare.
Rilevanza altaL'esfiltrazione continua verso un server C2 genera traffico misurabile. Controlla le statistiche dati nelle impostazioni: un consumo anomalo di dati di sistema merita attenzione.
Rilevanza altaIl dispositivo si scalda in standby, in tasca, sul comodino. CPU e GPS in esecuzione continua generano calore rilevabile anche senza app aperte in primo piano.
Rilevanza altaSu iOS 14+ e Android 12+ compaiono indicatori visivi (punto arancione/verde) quando fotocamera o microfono sono in uso. Se li vedi senza aver aperto app che li richiedono, è un segnale importante.
Rilevanza altaContatti che ti riferiscono messaggi che non ricordi di aver inviato, o richieste di amicizia e link usciti dal tuo profilo. Può indicare accesso remoto ai tuoi account.
Rilevanza altaNotifiche di accesso da posizioni geografiche inusuali, password cambiate senza tua iniziativa, 2FA bypassata. Segnali che qualcuno potrebbe avere accesso alle tue credenziali.
Rilevanza altaInterferenze, rumori di fondo insoliti, disconnessioni improvvise. Non sono prova di intercettazione, ma su alcuni sistemi di intercettazione attiva possono comparire.
Rilevanza mediaGli spyware avanzati sono ottimizzati per non rallentare il dispositivo, ma versioni meno sofisticate o una combinazione di processi attivi può causare lag insoliti.
Rilevanza bassa (da sola)Attenzione alle false rassicurazioni: l'assenza di questi segnali NON garantisce che il dispositivo sia pulito. Pegasus e Graphite nelle versioni più recenti sono progettati per non lasciare tracce rilevabili all'occhio umano. Solo un'analisi forense con tool specializzati — come iVerify di Bit4Law, lo strumento che utilizziamo nei nostri accertamenti — può escludere con certezza la presenza di alcuni spyware noti. Vale la pena ricordare che i segnali di traffico anomalo, permessi sospetti e comportamenti di rete insoliti descritti sopra sono esattamente quelli che una security suite come Trend Micro Mobile Security è progettata per intercettare in automatico — riducendo così la dipendenza dall'attenzione manuale dell'utente.
Confronto tra vettori d'attacco: cosa cambia per l'utente
| Tipo di attacco | Azione richiesta all'utente | La prudenza aiuta? | Principale difesa |
|---|---|---|---|
| Phishing classico | Clic su link + inserimento dati | Sì, molto | Riconoscere i segnali del phishing |
| App da store non ufficiali | Download e installazione manuale | Sì | Usare solo store ufficiali |
| Smishing (SMS phishing) | Clic su link nel messaggio | Sì | Non cliccare link da SMS inattesi |
| Zero-click exploit | Nessuna | No (diretta) | Aggiornamenti OS tempestivi, Lockdown Mode |
| Watering hole attack | Visitare un sito (anche legittimo) | Poco | Aggiornamenti browser/OS, limitare navigazione |
| CommWarrior (storico, 2004) | Accettare prompt di installazione | Sì, molto | Non accettare installazioni sconosciute |
Come proteggersi concretamente: le contromisure che funzionano
Ridimensionare il mito dell'errore umano non equivale a rassegnarsi. Esistono misure concrete che riducono significativamente il rischio, anche contro i vettori più sofisticati — l'obiettivo è aumentare il costo dell'attacco per l'attaccante, riducendo la superficie esposta.
Priorità assoluta: aggiornamenti di sicurezza
Gli exploit zero-click sfruttano vulnerabilità specifiche del sistema operativo. Quando Apple o Google rilasciano una patch, quella vulnerabilità viene tappata sui dispositivi aggiornati — l'exploit smette di funzionare. La finestra tra la scoperta della vulnerabilità e il momento in cui aggiorni è il momento di massimo rischio: accorciarla è la misura più efficace disponibile all'utente comune.
- Abilita gli aggiornamenti automatici per iOS/Android e per tutte le app installate.
- Non rimandare le patch di sicurezza: ogni giorno di ritardo è una finestra aperta. Gli aggiornamenti contrassegnati come "Security Update" o "Patch di sicurezza" sono prioritari.
- Sostituisci dispositivi con OS non supportato: un iPhone con iOS 15 o un Android senza più aggiornamenti è esposto per definizione.
- Riduci la superficie d'attacco disinstallando le app che non usi più.
- Limita i permessi delle app al minimo indispensabile: revoca quelli non necessari nelle impostazioni di privacy.
- Usa solo store ufficiali (App Store, Google Play). Le app da fonti esterne non passano i controlli di sicurezza delle piattaforme.
- Verifica sempre il mittente di link ricevuti, anche da contatti noti: un dispositivo compromesso può inviare messaggi all'insaputa del proprietario.
- Attiva il Lockdown Mode su iPhone se sei a rischio elevato (giornalista, avvocato, funzionario, attivista). Disabilita le funzionalità di iMessage più sfruttate dagli exploit zero-click.
- Installa una protezione antivirus anche su smartphone, iPhone incluso: non blocca gli zero-day ma copre i vettori quotidiani più diffusi. Le suite multi-device proteggono computer e telefono con un'unica licenza.
- Utilizza strumenti di verifica forense come iVerify di Bit4Law per una scansione periodica del dispositivo — ma considera che gli spyware più recenti possono eludere anche i tool di analisi più avanzati: in caso di sospetto fondato, l'unica certezza viene da una perizia forense professionale.
Il Lockdown Mode di Apple (iOS 16+, iPadOS 16+, macOS Ventura+) è stato introdotto esplicitamente come risposta a spyware come Pegasus. Disabilita la maggior parte delle funzionalità di iMessage vettore di exploit zero-click, blocca profili di configurazione non firmati, limita le connessioni USB e molto altro. Per saperne di più: guida Apple al Lockdown Mode.
Una breve storia: da CommWarrior ai malware invisibili
Nel 2004, uno dei primi worm per smartphone della storia — CommWarrior, per i Nokia Series 60 — si diffondeva via Bluetooth e MMS chiedendo esplicitamente all'utente il permesso di installarsi con una finestra di dialogo ("Install CommWarrior? Yes / No"). Richiedeva un'azione deliberata — e un certo grado di ingenuità — da parte di chi lo riceveva.
Vent'anni dopo, gli scenari sono incomparabili: nessuna finestra di dialogo, nessun permesso richiesto, nessuna icona visibile, nessun rallentamento evidente. L'installazione avviene in secondi, la comunicazione con l'esterno è cifrata e mimetizzata nel traffico legittimo, la persistenza sopravvive ai riavvii e le versioni più avanzate si autodistruggono se riconoscono un ambiente di analisi forense. Il gap evolutivo tra quello che l'utente può vedere e quello che uno spyware moderno fa è diventato abissale.
Hai bisogno di una verifica forense professionale?
Se hai riscontrato più di uno dei segnali descritti sopra, se sei una figura professionale esposta o hai semplicemente il sospetto fondato che qualcuno stia controllando le tue comunicazioni, un'analisi forense professionale è l'unico strumento in grado di darti una risposta certa. La nostra analisi include l'esame forense del dispositivo con strumenti certificati, la ricerca di indicatori di compromissione (IoC) per i principali spyware noti, un report tecnico utilizzabile in sede legale e le raccomandazioni operative per il ripristino della sicurezza.
Pensi che il tuo smartphone sia sotto controllo?
I nostri periti informatici forensi eseguono analisi certificate su dispositivi iOS e Android. Report tecnico con valore legale.
Domande frequenti sugli attacchi zero-click e spyware mobile
Cosa sono esattamente gli attacchi zero-click?
Tecniche di intrusione che non richiedono alcuna azione da parte della vittima: nessun link da aprire, nessun file da scaricare, nessun messaggio a cui rispondere. Lo spyware viene installato sfruttando vulnerabilità nei protocolli di comunicazione (iMessage, WhatsApp, FaceTime) o in librerie di sistema. Il payload arriva come contenuto che il sistema operativo elabora automaticamente in background, prima che tu veda o faccia qualsiasi cosa.
È vero che con un iPhone si è protetti al 100% da virus e spyware?
No, è una convinzione superata. iOS ha un'architettura di base più chiusa rispetto ad Android, ma questo non equivale a invulnerabilità. Spyware come Pegasus e Graphite sono stati sviluppati appositamente per colpire iPhone tramite vulnerabilità zero-day in iMessage, FaceTime e nel motore WebKit. Gli iPhone, proprio per il valore simbolico e la concentrazione di target ad alto profilo, sono diventati un obiettivo molto ricercato.
Serve davvero un antivirus su smartphone, anche su iPhone?
Sì, ha senso. Un antivirus mobile non blocca un exploit zero-day appena scoperto — nessun software ci riesce — ma protegge concretamente contro i vettori più diffusi: phishing, siti malevoli, app rischiose, furto di credenziali. Nel nostro studio utilizziamo e proponiamo ai clienti Trend Micro Mobile Security, testato direttamente sul campo: le licenze multi-device permettono di proteggere con un solo abbonamento sia computer che smartphone, su Windows, macOS, Android e iOS.
Come faccio a sapere se il mio smartphone è stato compromesso?
I segnali sospetti includono: batteria che si scarica molto più velocemente del solito, consumo anomalo di dati mobili in background, surriscaldamento del dispositivo anche a riposo, indicatori di fotocamera o microfono attivi senza aver aperto app che li richiedono, messaggi inviati a tua insaputa. Gli spyware avanzati come Pegasus sono però specificamente progettati per essere invisibili: l'assenza di questi segnali non garantisce che il dispositivo sia pulito. Solo un'analisi forense professionale può accertarlo con certezza.
Pegasus può infettare anche i telefoni Android, o solo iPhone?
Pegasus e spyware analoghi hanno versioni per entrambe le piattaforme principali. iOS è stato storicamente il target privilegiato, ma Android è ugualmente vulnerabile. La maggiore frammentazione di Android — aggiornamenti dipendenti dal produttore — tende a mantenere un numero maggiore di dispositivi esposti a vulnerabilità note più a lungo. Secondo dati Google, oltre il 42% degli smartphone Android attivi nel mondo usa versioni non più coperte da patch di sicurezza.
Quanti sono stati davvero i bersagli dello spyware Pegasus?
Il Pegasus Project (luglio 2021, Forbidden Stories + Amnesty International + 17 testate) ha identificato oltre 50.000 numeri di telefono in più di 50 paesi come potenziali bersagli tra il 2016 e il 2021. Su 67 dispositivi analizzati forensicamente, 37 hanno mostrato conferme di infezione o tentativi — tasso superiore al 55%. Tra le persone coinvolte: almeno 180 giornalisti, oltre 600 funzionari governativi di 34 stati e diversi capi di stato. Non è uno scenario teorico: è documentato con metodologia forense pubblica verificabile.
La crittografia end-to-end protegge dalle intercettazioni tramite spyware?
No, non contro questo tipo di attacco. La cifratura end-to-end protegge i dati in transito, ma uno spyware con accesso root intercetta i messaggi direttamente nell'applicazione, prima della cifratura in uscita e dopo la decifratura in arrivo. WhatsApp, Signal, Telegram: inutili contro un dispositivo già compromesso a livello di sistema. La crittografia difende dal provider o dall'operatore di rete, non da un attaccante che ha già il controllo del dispositivo.
Aggiornare il sistema operativo è davvero così importante?
È la misura singola più efficace a disposizione dell'utente comune. La quasi totalità degli exploit zero-click sfrutta vulnerabilità specifiche del sistema operativo. Quando Apple o Google rilasciano una patch, quella vulnerabilità viene tappata — l'exploit smette di funzionare sui dispositivi aggiornati. Il rischio è massimo nell'intervallo tra la scoperta della vulnerabilità e il momento in cui aggiorni. Abilitare gli aggiornamenti automatici riduce al minimo questa finestra.
Cos'è il Lockdown Mode di Apple e per chi è consigliato?
Il Lockdown Mode (iOS 16+, macOS Ventura+) è una modalità di sicurezza estrema introdotta da Apple in risposta a spyware come Pegasus. Disabilita la maggior parte delle funzionalità di iMessage sfruttate dagli exploit zero-click, blocca anteprime di link, limita connessioni USB e profili di configurazione non firmati. È pensato per chi affronta rischi reali e significativi: giornalisti investigativi, avvocati su casi sensibili, attivisti, funzionari governativi. Per l'utente medio non è necessario.
Cosa succede se trovo segnali di compromissione sul mio dispositivo?
Prima di tutto, non spegnere il dispositivo né effettuare un reset di fabbrica: queste azioni possono cancellare le evidenze necessarie per un'analisi forense. Contatta subito un perito informatico forense per un'acquisizione forense prima di qualsiasi intervento. Se la compromissione è confermata, cambia tutte le password da un dispositivo diverso e valuta una denuncia alle autorità competenti.
Approfondisci su peritidigitali.it
Se questo argomento ti riguarda da vicino, leggi anche questi articoli del nostro blog: