L'ultimo aggiornamento patch Android di Google è arrivato ricco di nuove funzionalità e, soprattutto, di seri avvisi di sicurezza. L'azienda ha risolto 107 vulnerabilità in un singolo aggiornamento mensile, un volume considerevole che conferma quanto l'ecosistema mobile più utilizzato del pianeta sia nel mirino di aggressori e gruppi di spionaggio.
Oltre al numero, ciò che è davvero preoccupante sono alcuni dei bug che sono stati corretti. Due vulnerabilità zero-day nel framework Android sono già state sfruttate in modo limitato e miratoCiò è in linea con campagne di sorveglianza altamente mirate, possibilmente collegate a spyware commerciali o ad attori con risorse significative. Se hai un dispositivo mobile Android relativamente recenteQuesto aggiornamento ti riguarda direttamente.
Cosa ha corretto Google nell'aggiornamento di dicembre
Nel suo bollettino sulla sicurezza di dicembre, Google spiega che Sono state corrette 107 vulnerabilità nel framework, nel sistema, nel kernel e componenti di terze parti closed-sourceQuesti componenti appartengono a produttori come Arm, MediaTek, Qualcomm, Imagination Technologies e Unison, tra gli altri, che forniscono componenti hardware e software essenziali per i dispositivi mobili Android.
Come di consueto, Google ha organizzato le patch in due diversi livelli di aggiornamento, datati come 2025-12-01 y 2025-12-05Questo schema consente ai produttori di dispositivi di applicare più rapidamente le correzioni più comuni, preparando al contempo il resto delle correzioni specifiche per i loro modelli.
In pratica, se il tuo telefono mostra un livello di patch di sicurezza di 2025-12-05 o superioreCiò significa che include soluzioni a tutte le vulnerabilità descritte nel bollettino di dicembre. Fino a quel momento, potresti essere ancora esposto ad alcune vulnerabilità, soprattutto quelle più recenti o gravi. Si consiglia di Ottimizza Android prima dell'aggiornamento per ridurre i problemi durante il processo.
I fallimenti coprono tutti i tipi di impatti, da divulgazione di informazioni sensibili ed elevazione dei privilegi Queste vulnerabilità possono persino innescare un attacco DoS (denial-of-service) remoto. Alcune richiedono l'interazione dell'utente o l'installazione di app dannose; altre, invece, possono essere sfruttate da remoto senza autorizzazioni aggiuntive.
Google sottolinea inoltre che i produttori di telefoni cellulari ricevono informazioni su queste vulnerabilità. almeno un mese prima della pubblicazione della newsletterTuttavia, ciò non garantisce che tutti i modelli riceveranno la patch contemporaneamente, o addirittura che la riceveranno, soprattutto nei dispositivi di fascia bassa o molto vecchi che non rientrano più nel ciclo di aggiornamento ufficiale.
Due exploit zero-day nel framework Android
In questo aggiornamento di dicembre, emergono in particolare due vulnerabilità zero-day: Erano già stati utilizzati in attacchi reali prima che fossero resi pubbliciEntrambi risiedono nel framework Android, ovvero nel livello di API, servizi di sistema e componenti su cui sono costruite praticamente tutte le applicazioni.
Il framework è una parte cruciale del sistema operativo perché Fornisce le classi e i servizi che consentono alle app di interagire con gli altri livelli di Android.Questo livello gestisce attività, visualizzazioni, notifiche, accesso all'archiviazione, rete, sensori e molte altre funzioni. Qualsiasi vulnerabilità in questo livello ha enormi potenziali ripercussioni, poiché può essere sfruttata da un'app apparentemente legittima per ottenere un accesso indebito.
Google ha confermato che queste due vulnerabilità, classificate come CVE-2025-48633 e CVE-2025-48572Sono stati utilizzati in attacchi limitati e mirati. L'azienda parla di "sfruttamento limitato e segmentato", un'espressione spesso associata a operazioni di spionaggio focalizzate su obiettivi molto specificipiuttosto che con massicce campagne di malware.
Diverse fonti all'interno della comunità della sicurezza informatica indicano che questo tipo di difetti si adattano molto bene al modo in cui funziona [il sistema]. fornitori di spyware commerciali come NSO Group, Candiru o Intellexa, che storicamente hanno sfruttato le vulnerabilità zero-day nelle piattaforme mobili per monitorare giornalisti, attivisti o personale di alto profilo.
Il primo errore, CVE-2025-48633, è stata descritta come una vulnerabilità di divulgazione delle informazioni nel quadroSebbene Google non abbia ancora pubblicato un'analisi tecnica approfondita o un punteggio CVSS definitivo, tutto suggerisce che potrebbe consentire a un'applicazione con autorizzazioni limitate di accedere a dati sensibili in memoria o a informazioni di sistema interne che, in condizioni normali, dovrebbero essere protette.
La seconda vulnerabilità, CVE-2025-48572, è classificato come un fallimento di escalation dei privilegi nel frameworkSecondo alcune analisi tecniche, l'origine è da attribuire a una convalida errata degli input all'interno di un componente del framework, che consentirebbe a un'app installata localmente di eseguire codice arbitrario con autorizzazioni più elevate, con un impatto valutato a 7,4 su 10 su una scala CVSS.
La combinazione di una vulnerabilità di escalation dei privilegi con una vulnerabilità di perdita di informazioni è particolarmente pericolosa perché Permette di concatenare entrambi i fallimenti in una catena di sfruttamento.Per prima cosa si ottengono informazioni utili per aggirare le protezioni, quindi si aumenta il livello di accesso per ottenere un controllo più approfondito del dispositivo.
Portata dei fallimenti e delle campagne di spionaggio
Google ha indicato che queste due vulnerabilità riguardano Android 13, 14, 15 e 16Si tratta di una parte significativa del parco dispositivi attivo. Il fatto che si tratti di versioni moderne conferma che non stiamo parlando di sistemi obsoleti, ma piuttosto terminali attuali, molti dei quali ancora nel loro ciclo di vita di supporto principale.
Il linguaggio stesso dell'azienda fa riferimento a un "exploit limitato e specifico", una formula che, secondo gli esperti citati dai media sulla sicurezza informatica, Google in genere utilizza questa tecnica quando rileva che exploit zero-day vengono utilizzati in operazioni di sorveglianza discreta.spesso sostenuti dagli stati o da aziende che vendono strumenti di intrusione al miglior offerente.
In passato, gruppi di questo tipo sono stati visti sfruttare vulnerabilità simili in Android e iOS per infettare i telefoni con spyware avanzatiin grado di accedere a messaggi, chiamate, posizione, microfono o fotocamera senza che l'utente abbia alcuna indicazione di cosa stia accadendo.
L'agenzia per la sicurezza informatica degli Stati Uniti, la CISA (Agenzia per la Sicurezza Cibernetica e delle Infrastrutture), ha reagito rapidamente includendo sia CVE-2025-48572 che CVE-2025-48633 nel suo catalogo delle vulnerabilità note sfruttate (KEV). Ciò significa che, per le agenzie federali civili di quel Paese, È obbligatorio applicare le patch prima di una scadenza specifica, in questo caso il 23 dicembre 2025.
Questa aggiunta al catalogo KEV è un chiaro segno che le autorità considerano questi difetti come rischi attivi, non solo teoriciLe agenzie interessate sono tenute ad aggiornare i propri dispositivi Android o ad adottare misure compensative, come la rimozione dal servizio dei modelli che non possono essere aggiornati.
Altre vulnerabilità critiche: negazione del servizio e kernel
Sebbene le due vulnerabilità zero-day siano al centro dell'attenzione, non sono le uniche vulnerabilità gravi affrontate in questo bollettino. Google ha anche corretto una vulnerabilità critica identificata come CVE-2025-48631 nel framework Android, in grado di causare un diniego di servizio (DoS) remoto senza richiedere autorizzazioni di esecuzione aggiuntive.
Un diniego di servizio remoto potrebbe non sembrare così appariscente come un'escalation di privilegi, ma può rendere un dispositivo temporaneamente inutilizzabileCiò può causare il riavvio in loop del sistema o il malfunzionamento di servizi essenziali. In contesti aziendali o infrastrutture critiche, questi tipi di attacchi possono avere un impatto operativo significativo.
Il bollettino riflette anche quattro ulteriori vulnerabilità critiche nel kernel Android, associati ai riferimenti CVE-2025-48623, CVE-2025-48624, CVE-2025-48637 e CVE-2025-48638. Sono tutte considerate vulnerabilità di escalation dei privilegi, il che significa che potrebbero consentire a un aggressore un accesso limitato al sistema ottenere il controllo quasi totale del dispositivo.
Il kernel è l'elemento centrale del sistema operativo: gestisce la memoria, i processi, l'accesso all'hardware e le comunicazioni interne. Un exploit del kernel in genere conferisce agli aggressori un potere enormeperché consente loro di sfuggire alle restrizioni delle normali applicazioni e di operare con privilegi di sistema.
Queste correzioni arrivano solo pochi mesi dopo che Google ha risolto altre due vulnerabilità che venivano sfruttate in naturaUna vulnerabilità è stata rilevata nel kernel Linux (CVE-2025-38352, con punteggio CVSS di 7,4) e l'altra in Android Runtime (CVE-2025-48543, anch'essa con punteggio di 7,4). In entrambi i casi, il risultato finale è stata la possibilità di aumentare i privilegi a livello locale.
Questo schema di patch concatenate rende chiaro che Gli aggressori hanno da tempo concentrato i loro sforzi su parti molto profonde del sistemaNon solo a livello superficiale, come il browser o le app. Difetti nel kernel, nel runtime e nel framework consentono campagne di intrusione altamente sofisticate, difficili da rilevare per l'utente medio.
Come sapere se il tuo cellulare è protetto
Se utilizzi un dispositivo Android e sei preoccupato per questa marea di vulnerabilità, il primo passo è controllare il livello e la versione delle patch del tuo sistema. Puoi farlo dalle impostazioni del tuo telefono, nelle sezioni relative alle informazioni sul dispositivo e agli aggiornamenti software.Tuttavia, il percorso specifico può variare leggermente a seconda del produttore e del livello di personalizzazione.
Sulla maggior parte dei telefoni cellulari, il percorso standard è solitamente quello di andare a Impostazioni > Informazioni sul telefono (o Informazioni sul dispositivo) e, all'interno di quel menu, cerca la sezione di Aggiornamento software o aggiornamenti di sistemaLì vedrai sia la versione Android installata che il livello di patch di sicurezza e, in alcuni casi, la versione del sistema Google Play.
Se quella sezione mostra un livello di patch uguale o superiore a 2025-12-05Ciò significa che hai già le correzioni per tutte le vulnerabilità incluse nel bollettino di dicembre, comprese le vulnerabilità zero-day sfruttate. Se la data è precedente, devi comunque ricevere alcune delle patch.
Il tuo telefono dovrebbe mostrare una notifica automatica quando è disponibile un aggiornamento, ma se non hai aggiornato da un po' o hai posticipato diverse notificheÈ meglio andare manualmente alla sezione aggiornamenti e cliccare sul pulsante di ricerca o download. In molti casi, è sufficiente essere connessi a una rete Wi-Fi e avere una carica della batteria sufficiente per avviare il processo. E, se hai bisogno di risolvere i problemi, scopri come registri degli errori di accesso per ulteriori dettagli.
Vale la pena ricordare che, anche se Google pubblica il bollettino e rende le patch disponibili ai produttori, I marchi sono responsabili del confezionamento e della distribuzione degli aggiornamenti per ciascun modello.Ciò significa che la velocità e la frequenza delle patch possono variare notevolmente tra un modello di fascia alta recente e un modello base vecchio di diversi anni.
Le migliori pratiche per prevenire gli attacchi anche quando esistono vulnerabilità
Anche quando il sistema è aggiornato, gli aggressori spesso cercano ulteriori punti di accesso, approfittando delle sviste degli utenti. L'installazione di applicazioni dannose è uno dei punti di ingresso più comuni.soprattutto se scaricati da fonti inaffidabili o tramite link ricevuti tramite app di messaggistica. Ecco perché può essere utile bloccare l'installazione dell'app sul tuo dispositivo.
Una raccomandazione di base è Limitare l'installazione delle app agli store ufficiali (come Google Play o l'app store del produttore) quando possibile. Questo non garantisce al 100% che un'app dannosa non passi inosservata, ma riduce notevolmente il rischio rispetto al download diretto di APK da siti web sconosciuti.
Prima di installare applicazioni sensibili, come app bancarie, portafogli di criptovalute o piattaforme di e-commerce, vale la pena prendere le precauzioni necessarie. Esamina attentamente il nome dello sviluppatore, il numero di download e le recensioni degli altri utenti.Diffidare di un singolo link promozionale che arriva tramite SMS, e-mail o messaggio e cercare manualmente l'app nello store è un piccolo gesto che può evitare molte spiacevoli sorprese.
È anche consigliato monitorare i permessi richiesti da ogni applicazioneSe un'app torcia richiede l'accesso a SMS, contatti o fotocamera, qualcosa non va. Autorizzazioni particolarmente sensibili come l'accessibilità, l'accesso a messaggi, chiamate o microfono dovrebbero essere concesse con estrema cautela, solo ad app di cui ti fidi completamente.
Come ulteriore livello di protezione, una soluzione di sicurezza mobile può essere utile. Strumenti di sicurezza affidabili, come quelli di aziende specializzate in antimalware, Sono in grado di rilevare comportamenti sospetti, applicazioni dannose e connessioni pericolose.Non sono una soluzione magica, ma forniscono un ulteriore aiuto contro le minacce che sfruttano le vulnerabilità del sistema o delle app.
Il ruolo di Google, dei produttori e degli utenti
La pubblicazione di un bollettino di sicurezza con oltre cento vulnerabilità risolte riflette sia l'entità degli attacchi attuali sia la reattività dell'ecosistema Android. Google coordina la ricerca sulle vulnerabilità, sviluppa patch e le distribuisce ai produttori.Tuttavia, il tempo necessario affinché raggiungano ciascun utente dipende ancora da molteplici fattori.
I produttori di dispositivi devono adattare e testare le patch sui tuoi livelli di personalizzazioneCiò comporta l'integrazione con driver di terze parti (come quelli per i chip Qualcomm, MediaTek o ARM) e la garanzia che l'aggiornamento non comprometta le funzioni chiave. Questo processo può essere relativamente rapido sui dispositivi di fascia alta dei marchi leader e molto più lento, o inesistente, sui dispositivi economici.
Da parte loro, gli utenti svolgono un ruolo cruciale nell’ Non rimandare gli aggiornamenti a tempo indeterminatoÈ allettante ignorare la notifica "è disponibile una nuova versione" per paura di modifiche all'interfaccia o di prestazioni più lente, ma quando si tratta di patch di sicurezza, il rischio di rimanere indietro è molto maggiore dell'inconveniente occasionale dell'installazione.
Oltre a questi aggiornamenti mensili, Google invia anche correzioni Aggiornamento di sistema di Google PlayCiò consente di applicare patch a determinati componenti senza dover dipendere troppo dai produttori. Tuttavia, non tutto può essere risolto in questo modo e molti dei problemi descritti in questo bollettino richiedono comunque un aggiornamento completo del sistema.
La sicurezza di un dispositivo Android è il risultato di tre ingranaggi: il lavoro di Google e dei ricercatori, l'impegno dei produttori e l'atteggiamento dell'utente stessoQuando uno di questi meccanismi fallisce, si aprono delle falle che gli aggressori sono pronti a sfruttare.
Questa valanga di patch di dicembre dimostra che, sebbene l'ecosistema Android sia complesso e ci saranno sempre delle vulnerabilità, Mantieni aggiornato il tuo dispositivo mobile, installa solo app attendibili, controlla le autorizzazioni e presta attenzione agli avvisi ufficiali. Rimane la combinazione migliore per muoversi più tranquillamente nel mondo digitale, pur sapendo che gruppi di spionaggio e criminali informatici non smetteranno di cercare nuove falle da sfruttare.
