Negli ultimi anni il tema della sorveglianza digitale ha assunto proporzioni preoccupanti, soprattutto per categorie vulnerabili come giornalisti, attivisti, avvocati e funzionari governativi. Nel 2025, gli attacchi informatici tramite spyware sofisticati stanno raggiungendo nuovi livelli di complessità e diffusione, suscitando timori nell’opinione pubblica globale. A far emergere con particolare chiarezza questa situazione ci ha pensato il CERT-FR, l’agenzia francese per la sicurezza informatica, che ha recentemente pubblicato un rapporto dettagliato sulle campagne di sorveglianza contro utenti Apple in Francia.

Il documento ha rivelato che nel corso del 2025 sono state identificate quattro ondate di notifiche di minacce spyware segnalate a utenti Apple francesi, confermando l’utilizzo di strumenti di sorveglianza mercenaria come Pegasus di NSO Group, Predator, Graphite e Triangulation. Questi spyware utilizzano exploit di tipo zero-day con modalità zero-click, cioè che non richiedono alcuna interazione da parte della vittima per compromettere i dispositivi, rendendo la sorveglianza praticamente invisibile e difficilmente rilevabile.

Il rapporto conferma che questi attacchi non sono casuali ma mirati specificamente a individui selezionati in base al loro ruolo o funzione. Tra i bersagli identificati figurano giornalisti investigativi, avvocati che si occupano di diritti umani, attivisti politici, membri del parlamento, alti funzionari governativi e dirigenti di settori strategici. In Francia, lo stesso presidente Emmanuel Macron avrebbe cambiato telefono nel 2021 dopo essere stato preso di mira da Pegasus.

A livello internazionale, le vittime confermate includono anche i giornalisti italiani Ciro Pellegrino e Francesco Cancellato, colpiti dallo spyware Graphite di Paragon Solutions, mentre WhatsApp ha confermato che circa 200 utenti a livello globale hanno ricevuto notifiche di minacce relative alla catena di exploit scoperta su un periodo di 90 giorni.

spyware giornalisti

Il caso di Pegasus è tristemente emblematico. Sviluppato da NSO Group, questo spyware ha un costo milionario ed è utilizzato principalmente da enti governativi per attività di sorveglianza mirata. Consente agli aggressori di accedere a microfono, fotocamera e dati sensibili dei dispositivi Apple senza che l’utente se ne avveda. Apple stessa ha intrapreso azioni legali contro NSO Group per cercare di limitare l’abuso di questi strumenti di sorveglianza, denunciandone l’uso improprio e i danni arrecati alla sicurezza dei propri utenti. Queste minacce si aggiungono a un quadro di vulnerabilità che spesso sfruttano falle nella gestione della memoria o errori di programmazione che consentono agli hacker di installare il codice malevolo in modo silente.

Di fronte a queste sfide, Apple ha introdotto un significativo aggiornamento per la sicurezza della memoria di iOS denominato Memory Integrity Enforcement (MIE), che rappresenta il più grande passo avanti nella protezione della memoria per dispositivi consumer nella storia di Apple. MIE si avvale di un’estensione hardware chiamata Enhanced Memory Tagging Extension (EMTE) presente nei nuovi chip A19 e A19 Pro degli iPhone 17 e iPhone Air, che permette di coprire in modo continuo più di 70 processi di sistema e utente.

L’obiettivo è quello di rendere molto più difficile lo sviluppo di exploit e catene di attacco che puntano a vulnerabilità di memoria note da decenni. Apple sottolinea che MIE rende inutilizzabili tecniche di attacco largamente sfruttate in passato, contrastando efficacemente spyware come Pegasus e rendendo le operazioni di sorveglianza più costose e complicate per gli hacker. Questo miglioramento è stato esteso anche ai dispositivi Apple più datati, in cui la protezione hardware mancante è compensata da un rafforzamento tramite iOS 26 e tool dedicati agli sviluppatori per integrare meccanismi avanzati nelle app.

Parallelamente, anche Samsung ha intensificato le proprie misure di sicurezza per i dispositivi Android, impegnandosi a correggere vulnerabilità critiche sfruttate in attacchi zero-day. Pochi giorni fa il colosso sudcoreano ha rilasciato un importante aggiornamento di sicurezza per i suoi smartphone Galaxy che risolve la falla CVE-2025-21043, una vulnerabilità di tipo out-of-bounds write (una scrittura fuori dai limiti in una libreria di parsing immagini chiamata libimagecodec.quram.so).

Questa falla era stata sfruttata attivamente da attaccanti remoti per eseguire codice arbitrario sui dispositivi vulnerabili, potenzialmente permettendo di installare spyware o effettuare altre attività malevole. La patch di Samsung ha corretto questa falla critica per dispositivi con Android 13, 14, 15 e 16, prevenendo così il rischio di compromissione. La gravità della minaccia è stata confermata anche dal fatto che l’exploit era già diffuso nel “wild” e che l’aggiornamento è stato prioritarizzato sia da Samsung, sia da Google nelle rispettive rispettive patch mensili di sicurezza.

(Immagine in apertura: Shutterstock)