Google ha pubblicato l’Android Security Bulletin di dicembre 2025 che risolve 107 vulnerabilità diffuse tra componenti fondamentali del sistema (Framework, System, Kernel) e moduli di terze parti, tra cui quelli di fornitori come Qualcomm, MediaTek, ARM e altri.

Tra queste, due bug sono classificati come zero-day ed erano già oggetto di attacchi reali (“in the wild”).

Lo sfruttamento delle vulnerabilità potrebbe consentire di condurre attacchi di tipo:

• Denial of Service
• Elevation of Privilege
• Information Disclosure

Come di consueto, l’Android Security Bulletin di dicembre 2025 è stato suddiviso in due pacchetti cumulativi di aggiornamenti: il primo, catalogato come 2025-12-01 security patch level, riguarda le principali componenti del sistema operativo Android 13, 14, 15 e 16 con patch di sicurezza precedenti a dicembre 2025.

Il secondo, catalogato come 2025-12-05 security patch level, affronta e risolve i problemi di sicurezza identificati nei componenti hardware e dei fornitori closed-source.

Ulteriori dettagli sugli aggiornamenti dell’Android Security Bulletin di dicembre 2025 sono disponibili sulla pagina dedicata.

Aggiornamenti Android: le vulnerabilità zero-day corrette

Come dicevamo, l’Android security Bulletin del mese di dicembre 2025 risolve due vulnerabilità zero-day, che riguardano entrambe il componente Framework:

• CVE-2025-48633: vulnerabilità di tipo information disclosure che, qualora venisse sfruttata, potrebbe potenzialmente permette la diffusione non autorizzata di informazioni sensibili.
• CVE-2025-48572: vulnerabilità di elevazione di privilegi (privilege escalation), che può consentire a un attaccante di ottenere privilegi di accesso elevati nel sistema.

Come prassi consolidata, Google non ha rilasciato dettagli aggiuntivi sulla natura degli attacchi che hanno sfruttato tali vulnerabilità. Restano dunque ignote informazioni cruciali: se le due falle siano state concatenate in exploit chain o utilizzate separatamente, quale sia stata la portata delle campagne di attacco e chi si celi dietro queste operazioni.

L’azienda di Mountain View ha tuttavia riconosciuto nel proprio bollettino di sicurezza che esistono indicazioni secondo cui le vulnerabilità potrebbero essere sotto sfruttamento limitato e mirato (“limited, targeted exploitation”).

Le altre vulnerabilità gravi

Oltre alle due zero-day, l’aggiornamento di questo mese include una vulnerabilità critica CVE-2025-48631, che riguarda ancora il Framework e potrebbe consentire un Denial of service (DoS) senza necessità di privilegi aggiuntivi.

Inoltre, tra le correzioni ci sono fix critici per moduli legati a Qualcomm e altri SoC, oltre a vulnerabilità su subcomponenti kernel come Pkvm e IOMMU.

Scenari di attacco e rischio reale

La presenza di zero-day già sfruttate rende urgente l’applicazione degli aggiornamenti di sicurezza contenuti nell’Android Security Bulletin del mese di dicembre 2025.

Anche se Google non ha pubblicato dettagli tecnici sull’exploit, le caratteristiche delle vulnerabilità suggeriscono scenari pericolosi:

• Con CVE-2025-48633, un attaccante potrebbe ottenere informazioni sensibili dal dispositivo compromesso, potenzialmente esfiltrandole o usando i dati per successive fasi di attacco.
• Con CVE-2025-48572, la privilege escalation può consentire all’attaccante di guadagnare controllo più profondo sul dispositivo, abilitando installazione di malware persistenti o attacchi più sofisticati.

Il rischio aumenta se le vulnerabilità vengono combinate con altre – ad esempio un bug in un driver di terze parti – configurando catene di exploit complesse, tipiche delle campagne di spyware o di attori statali.

Inoltre, la varietà di componenti coinvolti (kernel, vendor blobs, firmware, librerie di chipset) evidenzia la sfida per la sicurezza in un ecosistema frammentato come Android, dove la distribuzione delle patch può essere lenta o irregolare.

Ecco come aggiornare i dispositivi Android

Nel bollettino di sicurezza pubblicato in occasione del rilascio dell’Android Security Bulletin di questo mese, Google sottolinea come lo sfruttamento di molti problemi di Android sia stato reso più difficile grazie ai continui miglioramenti apportati alle nuove versioni della piattaforma mobile.

Proprio per questo motivo, è essenziale, ove possibile, aggiornare i propri dispositivi alla versione più recente di Android.

È bene ricordare che Google ha già rilasciato tutte le patch di sicurezza Android ai propri partner con un mese di anticipo rispetto alla pubblicazione del bollettino di sicurezza, pubblicandole nel repository Android Open Source Project (AOSP).

Alcuni o tutti questi aggiornamenti, a seconda del dispositivo, possono essere applicati automaticamente tramite i servizi Google Play; altri, invece, potrebbero essere inviati all’utente sotto forma di un aggiornamento da parte dell’operatore o del produttore del dispositivo, e alcuni potrebbero non essere necessari.

I dispositivi Android più economici e meno aggiornati potrebbero non vedere mai gli aggiornamenti.

In tutti i casi, soprattutto quando i dispositivi vengono utilizzati in ambito aziendale e produttivo, è opportuno installare una buona soluzione di sicurezza (ancora meglio se integrata nell’eventuale client di Mobile Device Management per il controllo remoto e centralizzato dei dispositivi usati per lo smart working) in grado di garantire un elevato livello di protezione dei dati e delle informazioni riservate archiviate in memoria.

Per aggiornare un dispositivo Android, è sufficiente andare su Impostazioni/Sistema/Aggiornamento sistema e selezionare Controlla aggiornamenti. In alternativa, si può accedere al menu Impostazioni/Sicurezza e privacy/Aggiornamenti e selezionare Aggiornamento di sicurezza.

Da segnalare che, se il dispositivo utilizza ancora Android 10 o versioni precedenti, vuol dire che ha raggiunto la fine del ciclo di vita (EoL) da settembre 2022 (per la versione 10) e non riceverà le correzioni per i difetti di cui sopra. Analogamente per i dispositivi con Android 11, che ha raggiunto la fine del ciclo di vita lo scorso 5 febbraio 2024.

Tuttavia, alcuni aggiornamenti importanti potrebbero comunque essere distribuiti tramite gli aggiornamenti di sistema di Google Play: per scaricarli e installarli, accediamo al menu Impostazioni/Sicurezza e privacy/Aggiornamenti e selezioniamo la voce Aggiornamento di sistema di Google Play.

Per quanto tempo si ricevono gli aggiornamenti Android

Le politiche di aggiornamento di Google prevedono che i dispositivi ricevano aggiornamenti per la versione di Android installata per almeno tre anni dalla data di introduzione sul Google Store, mentre gli aggiornamenti di sicurezza saranno garantiti per tre anni dalla data di introduzione nella versione statunitense del Google Store.

Per quanto riguarda, invece, la velocità di rilascio, se i dispositivi sono stati acquistati direttamente sul Google Store allora gli aggiornamenti arriveranno entro un paio di settimane, mentre per i modelli acquistati da rivenditori di terze parti potrebbe volerci più tempo, come indicato sul sito di supporto di Google per Android.