Google patch Android
Il ciclo di aggiornamenti di sicurezza per Android prosegue con il rilascio delle patch di settembre 2025, un pacchetto che interviene su 84 falle del sistema operativo. Tra queste spiccano due vulnerabilità zero-day, già sfruttate in attacchi mirati, che hanno spinto Google a raccomandare l’installazione immediata dell’update.
Due falle già sfruttate in attacchi reali
Le vulnerabilità identificate come CVE-2025-38352 e CVE-2025-48543 interessano rispettivamente il kernel di Android e l’Android Runtime, il componente che gestisce l’esecuzione delle app. Entrambe sono classificate come escalation di privilegi: in pratica, un attaccante può ottenere autorizzazioni più elevate di quelle normalmente consentite, superando le restrizioni di sicurezza del sistema. La criticità è legata al fatto che le due falle risultano già sfruttate da attori malevoli. Google non ha fornito dettagli sugli scenari degli attacchi, ma il semplice riconoscimento della loro attività sul campo basta a evidenziare la serietà del problema.
Una falla critica di esecuzione remota
Accanto ai due zero-day, l’aggiornamento corregge quattro vulnerabilità di gravità critica. La più rilevante è CVE-2025-48539, un problema di esecuzione di codice da remoto (RCE) che interessa un componente di sistema di Android. Un malintenzionato, trovandosi nel raggio d’azione del Wi-Fi o del Bluetooth di un dispositivo vulnerabile, potrebbe inviare dati opportunamente manipolati ed eseguire codice arbitrario senza richiedere alcuna azione da parte dell’utente. In casi simili, lo scenario di rischio è particolarmente delicato perché l’attacco può avvenire senza interazioni visibili e senza privilegi aggiuntivi, trasformando l’esposizione in un potenziale punto di ingresso per malware o spyware.
I componenti Qualcomm sotto esame
Tre delle falle critiche individuate riguardano i componenti Qualcomm, presenti su un’ampia gamma di smartphone Android. Tra queste, la vulnerabilità CVE-2025-21483 consente esecuzione di codice da remoto attraverso pacchetti di rete appositamente costruiti, mentre la CVE-2025-27034 colpisce direttamente il baseband del modem, con la possibilità di compromettere le comunicazioni cellulari. Per i dispositivi dotati di chip Qualcomm, il numero totale delle correzioni sale a 111 patch, un dato che testimonia l’ampiezza dell’intervento necessario per coprire l’intera superficie d’attacco.
