Il Bollettino di Sicurezza Android di Google per novembre 2025 ha affrontato diverse vulnerabilità; tra cui una falla critica di esecuzione di codice remoto (RCE) nel componente di Sistema. Questa specifica vulnerabilità, identificata come CVE-2025-48593, è particolarmente grave perché non richiede privilegi di esecuzione aggiuntivi né interazione da parte dell’utente per essere sfruttata, rendendola estremamente pericolosa.
Non serve cliccare su link sospetti, aprire allegati o installare app malevole. L’attacco può avvenire silenziosamente, attraverso pacchetti di rete appositamente costruiti. Il problema affligge il componente System dell’Android Open Source Project (AOSP); il cuore pulsante del sistema operativo mobile più diffuso al mondo.
Colpisce le versioni di Android dalla 13 alla 16; se sfruttata con successo, potrebbe permettere a un attaccante di eseguire codice arbitrario in remoto. Gli attaccanti potrebbero sottrarre credenziali bancarie, installare ransomware, intercettare comunicazioni riservate o trasformare lo smartphone in un nodo botnet per attacchi coordinati. Il bug è stato segnalato internamente con ID A-374746961 e le patch sono state integrate nelle versioni AOSP dalla 13 alla 16. Tuttavia, la frammentazione dell’ecosistema Android rappresenta un problema serio; molti produttori tendono a ritardare la distribuzione degli aggiornamenti, lasciando milioni di dispositivi esposti.
Android 0-Click : CVE-2025-48593
La falla individuata nel CVE-2025-48593 deriva da una gestione impropria dei processi a livello di sistema; consente l’iniezione di codice arbitrario durante operazioni ordinarie come l’avvio di applicazioni o la sincronizzazione in background. I ricercatori di sicurezza di Google hanno notato somiglianze con vulnerabilità Android precedenti, dove la corruzione della memoria facilitava l’escalation dei privilegi. Google ha scelto di non divulgare i dettagli completi della root cause per prevenire abusi diffusi.
Quello che rende CVE-2025-48593 particolarmente insidiosa è la superficie d’attacco; il componente System non è un’app isolata che puoi disabilitare o disinstallare, è parte integrante del framework Android. Ogni dispositivo che gira AOSP è potenzialmente esposto. Gli attaccanti potrebbero sfruttare il bug per compromettere completamente il device; furto di dati, deployment di ransomware, integrazione in botnet. Oltre a CVE-2025-48593, il bollettino menziona anche CVE-2025-48581; un problema di elevazione dei privilegi (EoP) sempre nel componente di Sistema, classificato come “Alto” e che interessa esclusivamente Android 16. Le vulnerabilità di elevazione dei privilegi possono consentire agli attaccanti di ottenere permessi di accesso più elevati all’interno del dispositivo, aprendo la strada a furti di dati o ulteriori exploit.
Il fatto che Google abbia patchato entrambe le vulnerabilità nello stesso bollettino fa pensare che l’azienda abbia riconosciuto il potenziale distruttivo di questa combinazione. Non è chiaro se le due falle siano state scoperte indipendentemente o se l’analisi di CVE-2025-48593 abbia portato alla luce anche CVE-2025-48581.
La frammentazione Android e il problema delle patch
Google raccomanda di applicare il security patch level 2025-11-01, che risolve completamente entrambe le vulnerabilità per i dispositivi supportati. La verifica va effettuata navigando in Impostazioni > Sistema > Aggiornamento di sistema. I dispositivi aggiornati a questo livello saranno protetti da tutte le vulnerabilità divulgate questo mese.
Google rilascia le patch per i Pixel quasi immediatamente, Samsung segue con qualche settimana di ritardo; altri OEM possono impiegare mesi. Device entry-level e modelli fuori dal ciclo di supporto garantito restano esposti indefinitamente. Secondo le statistiche di distribuzione Android, una percentuale significativa di dispositivi gira ancora su versioni 10-12; tecnicamente eleggibili per update ma spesso abbandonati dai produttori. Ritardare l’installazione di queste patch potrebbe esporre i dispositivi a rischi di sfruttamento remoto.
La soluzione ideale sarebbe un cambio architetturale che renda il sistema operativo completamente disaccoppiato dall’hardware, permettendo a Google di distribuire patch critiche direttamente. Ma questo richiederebbe una rivoluzione dell’ecosistema che al momento nessuno sembra intenzionato a guidare.
