Google c’ha messo una pezza: risolte 107 vulnerabilità di Android, due “zero day”

Un massiccio aggiornamento di sicurezza chiude l’anno per l’ecosistema Android. Il bollettino di dicembre 2025 evidenzia oltre cento falle, incluse due criticità già sfruttate attivamente dagli hacker.

Google rilascia le patch di sicurezza di dicembre 2025

Google ha rilasciato ufficialmente il bollettino di sicurezza Android per il mese di dicembre 2025, un aggiornamento particolarmente corposo che mira a risolvere ben 107 vulnerabilità.

Sebbene il numero elevato di correzioni sia di per sé notevole, l’attenzione degli esperti di cybersecurity è focalizzata su due falle specifiche, classificate come “zero-day”, per le quali esistono prove concrete di uno sfruttamento attivo in attacchi mirati.

Le due falle più preoccupanti, classificate con gravità elevata, sono state tracciate come CVE-2025-48633 e CVE-2025-48572. Queste vulnerabilità colpiscono le versioni di Android dalla 13 alla 16, coprendo quindi la stragrande maggioranza dei dispositivi moderni attualmente in circolazione.

Tecnicamente, si tratta rispettivamente di un problema di divulgazione di informazioni (information disclosure) e di una falla di elevazione dei privilegi (elevation-of-privilege). Nel bollettino ufficiale, Google ha dichiarato: “Vi sono indicazioni che le seguenti vulnerabilità potrebbero essere oggetto di uno sfruttamento limitato e mirato“.

Come da prassi in situazioni di pericolo attivo, Mountain View non ha rilasciato dettagli tecnici specifici o “Proof of Concept” (PoC) per evitare di fornire un manuale d’istruzioni a ulteriori attori malevoli.

Tuttavia, il riferimento a uno “sfruttamento limitato e mirato” suggerisce uno scenario purtroppo noto: l’utilizzo di queste falle da parte di fornitori di spyware commerciale o operazioni condotte da stati-nazione per colpire individui di alto profilo, come giornalisti, attivisti o dissidenti politici.

Una patch divisa in due

L’aggiornamento di questo mese è strutturato, come di consueto, su due livelli di patch di sicurezza (SPL), permettendo ai produttori di implementare le correzioni in modo modulare.

• Livello patch 2025-12-01: Questo primo blocco affronta 51 vulnerabilità relative al Framework Android e ai componenti di sistema. Tra queste spicca la CVE-2025-48631, classificata come la più critica del mese in termini di gravità teorica. Si tratta di una falla Denial-of-Service (DoS) nel Framework Android che potrebbe portare all’instabilità o al blocco del dispositivo senza richiedere privilegi aggiuntivi.
• Livello patch 2025-12-05: Il secondo blocco corregge 56 bug situati nel Kernel e in componenti chiusi di terze parti. Qui la situazione è delicata per l’hardware. Sono state risolte quattro vulnerabilità critiche di elevazione dei privilegi nei sottocomponenti Pkvm e UOMMU del Kernel. Inoltre, sono state sanate due falle critiche specifiche per i dispositivi basati su chip Qualcomm (CVE-2025-47319 e CVE-2025-47372).

L’ecosistema frammentato e le misure di difesa

Mentre i dispositivi Google Pixel sono solitamente i primi a ricevere questi aggiornamenti, altri produttori stanno seguendo a ruota. Samsung, ad esempio, ha già pubblicato il proprio bollettino di sicurezza, che include sia le correzioni portate da Google, sia patch specifiche per il proprio hardware e software. Anche MediaTek e Qualcomm hanno rilasciato bollettini dedicati per i propri chipset.

È fondamentale notare che, sebbene le patch complete del sistema operativo coprano Android 13 e versioni successive, Google continua a supportare parzialmente i dispositivi più datati (da Android 10 in su) attraverso gli aggiornamenti di sistema Google Play.

Questo meccanismo permette di distribuire fix cruciali senza attendere un aggiornamento completo del firmware da parte del produttore del telefono.

Inoltre, Google sottolinea l’importanza di Google Play Protect: il sistema di difesa integrato è in grado di rilevare e bloccare malware e catene di attacco documentate che tentano di sfruttare queste falle, offrendo un livello di protezione essenziale anche per chi non ha ancora ricevuto l’aggiornamento.

Per gli utenti con dispositivi non più supportati ufficialmente dai produttori, il consiglio degli esperti rimane invariato: valutare il passaggio a una distribuzione di terze parti (Custom ROM) che integri regolarmente le patch di sicurezza di Google, o considerare l’acquisto di un nuovo dispositivo che garantisca un supporto attivo.

Per tutti gli altri, l’imperativo è aggiornare immediatamente non appena la notifica OTA (Over-The-Air) sarà disponibile.