Google ha rilasciato una serie di patch per Chrome. Tra i vari bug corretti, uno aveva una particolarità inquietante: era stato attivamente sfruttato dagli hacker prima che l’azienda avesse il tempo di tappare la falla. Si chiama zero-day, ed è una delle minacce più pericolose nel mondo della cybersicurezza.
Attacchi Zero-day su Chrome e iOS, arrivano gli aggiornamenti d’emergenza
Google, con un’insolita parsimonia di dettagli, non ha fornito ulteriori informazioni al momento dell’annuncio. Successivamente, ha aggiornato la pagina dell’annuncio rivelando che il bug era stato scoperto dal team di ingegneri della sicurezza di Apple e dal Threat Analysis Group di Google, un gruppo di ricercatori specializzati in una nicchia molto specifica: hacker governativi e produttori di spyware mercenari. Ah, però…
Quasi in contemporanea, Apple ha rilasciato aggiornamenti di sicurezza per praticamente tutto il suo ecosistema. iPhone, iPad, Mac, Vision Pro, Apple TV, Apple Watch, Safari, nessuno è stato risparmiato. Quando Apple aggiorna tutto insieme così, è perché la situazione è seria.
L’avviso di sicurezza per iPhone e iPad parla di due bug corretti, e poi arriva la frase chiave: questo problema potrebbe essere stato sfruttato in un attacco estremamente sofisticato contro specifici individui mirati
che usavano dispositivi con versioni precedenti a iOS 26.
Apple sa che alcuni dei suoi utenti sono stati presi di mira. Sa che gli hacker hanno usato vulnerabilità zero-day, quelle falle che i produttori di software non conoscono fino a quando qualcuno non le sfrutta. E quando Apple usa l’espressione “attacco estremamente sofisticato”, sta dicendo che non è opera di hacker amatoriali.
Lo spyware mercenario e i suoi clienti
Qui entriamo in un territorio dove la tecnologia incontra la geopolitica in modi molto poco piacevoli. Spesso questi zero-day vengono sfruttati da hacker governativi che utilizzano strumenti di sorveglianza venduti da aziende come NSO Group o Paragon Solutions. Queste compagnie creano spyware sofisticatissimi e li vendono a governi, che dovrebbero usarli solo per combattere terrorismo e criminalità grave. Teoricamente.
Questi strumenti però finiscono regolarmente per essere usati contro giornalisti, dissidenti, attivisti per i diritti umani. Persone che danno fastidio ai regimi autoritari, che fanno domande scomode, che cercano di portare alla luce verità nascoste.
NSO Group, la società israeliana dietro Pegasus, è il caso più emblematico di questa industria. Il suo spyware può infettare un iPhone senza che l’utente muova un dito: nessun clic su link dubbi, nessuna app da installare. E una volta dentro, può accedere a tutto: messaggi, chiamate, foto, posizione GPS, microfono, fotocamera. Il telefono diventa un dispositivo di sorveglianza personale nelle mani di chi lo controlla.
Il silenzio di Apple e Google
Apple e Google non hanno risposto immediatamente alle richieste di commento. Nessuna sorpresa. Quando si parla di vulnerabilità zero-day sfruttate da governi, le aziende tech tendono a dire il minimo indispensabile. Dare troppi dettagli significherebbe rivelare informazioni tecniche che potrebbero aiutare altri hacker. Non dire nulla significherebbe apparire indifferenti alla sicurezza degli utenti.
Il risultato è questo delicato equilibrio fatto di comunicazioni vaghe, avvisi generici, patch rilasciate d’urgenza con spiegazioni minime. “Aggiornate subito” diventa il mantra, senza spiegare esattamente da cosa ci si sta proteggendo o se si è già stati compromessi.
Cosa dovrebbero fare gli utenti
La risposta breve: aggiornare. Subito. Non domani, non quando si ha tempo, non dopo aver finito di scorrere Instagram. Adesso.
Gli aggiornamenti di sicurezza non sono optional. Quando Apple e Google rilasciano patch d’emergenza per vulnerabilità attivamente sfruttate, significa che là fuori c’è qualcuno che sta usando quelle falle per entrare nei dispositivi delle persone.
Per aggiornare iPhone o iPad: Impostazioni > Generali > Aggiornamento Software. Per Chrome: cliccare sui tre puntini in alto a destra, andare su Guida > Informazioni su Google Chrome, e il browser controllerà automaticamente se ci sono aggiornamenti. Per Mac, Apple Watch, Apple TV e gli altri dispositivi Apple, ogni sistema ha il suo percorso ma il principio è lo stesso: trovare le impostazioni, cercare gli aggiornamenti, e installarli.
Ti potrebbe interessare
15 dic 2025