Una vulnerabilità critica colpisce anche Android 13, 14, 15 e 16: rischio esecuzione remota di codice senza azione dell’utente
Nel bollettino di sicurezza Android di novembre 2025 vengono corrette soltanto due vulnerabilità, ma il numero limitato non deve ingannare: una delle due è classificata come critica e coinvolge direttamente quattro versioni del sistema operativo. A renderla preoccupante è la possibilità di essere sfruttata a distanza, senza interazione dell’utente e senza privilegi aggiuntivi.
L’aggiornamento cumulativo è contrassegnato come 2025-11-01 e riguarda la componente Systemdel sistema. Google spiega la riduzione degli update mensili con l’adozione di nuove politiche basate sull’effettivo rischio delle vulnerabilità, ma il panorama resta delicato per milioni di utenti.
Due vulnerabilità, ma una è critica e può colpire anche senza azioni dell’utente
Il bollettino Android di novembre 2025 pubblicato da Google evidenzia una situazione insolita: sono solo due le vulnerabilità trattate, ma entrambe ritenute rilevanti. In particolare, la prima è stata classificata come CVE-2025-48593 e riguarda Android 13, 14, 15 e 16. È l’unica segnalata come critica e, secondo le indicazioni tecniche, può consentire l’esecuzione di codice remoto, senza che l’utente debba cliccare o autorizzare alcunché. Questo tipo di vulnerabilità rappresenta uno scenario tra i più pericolosi in ambito mobile, perché permette a un attaccante di entrare nel sistemasemplicemente sfruttando una falla nel codice della componente System.
La seconda vulnerabilità, identificata come CVE-2025-48581, interessa esclusivamente Android 16 e rientra nella categoria EoP (Elevation of Privilege). Anche questa è definita critica, ma richiede una fase successiva per ottenere vantaggi operativi. Al momento, secondo quanto riportato da Google, non risultano attacchi attivi in rete legati a nessuna delle due falle. Tuttavia, proprio la natura silenziosa di questo tipo di vulnerabilità rende difficile sapere quanto siano già state studiate da gruppi cybercriminali o enti statali.
La novità non è solo nella pericolosità degli exploit, ma nella modalità con cui vengono gestiti gli aggiornamenti. Da luglio 2025, infatti, Google ha scelto di pubblicare update solo quando strettamente necessario, eliminando la cadenza fissa mensile. Questo ha portato all’assenza di patch nei mesi di luglio, agosto e ottobre. Le nuove policy mirano a ridurre l’impatto operativo, ma espongono i dispositivi a finestre di vulnerabilità più lunghe in caso di exploit zero-day.
Il pacchetto cumulativo rilasciato include la patch 2025-11-01, che aggiorna la componente System per le versioni interessate. Gli utenti che non hanno ancora ricevuto l’aggiornamento possono cercarlo manualmente da Impostazioni > Sistema > Aggiornamenti di sistema, oppure tramite il percorso Impostazioni > Sicurezza e privacy > Aggiornamenti > Aggiornamento di sicurezza. Alcuni dispositivi lo riceveranno tramite Google Play, altri dai produttori. I modelli più economici o meno recenti potrebbero non riceverlo affatto.
Aggiornare resta essenziale, ma molti dispositivi non riceveranno più protezione
Come ogni mese, Google ha inviato le patch ai propri partner hardware già a partire da ottobre, in modo da garantire un rilascio coordinato su smartphone Pixel e dispositivi supportati. I produttori però possono ritardare la distribuzione, soprattutto per i modelli venduti fuori dagli store ufficiali. In questo scenario, l’aggiornamento diretto tramite Google Play Services diventa un canale alternativo cruciale, anche se non sufficiente a coprire tutte le vulnerabilità.
Per i dispositivi più vecchi, il discorso è diverso: chi usa ancora Android 10 ha già perso il supporto da settembre 2022, mentre Android 11 ha raggiunto il fine ciclo (EoL) il 5 febbraio 2024. Anche chi possiede questi dispositivi potrebbe ricevere alcuni aggiornamenti tramite Google Play, ma non saranno sufficienti per garantire una protezione completa contro le falle più recenti.
Google chiarisce che ogni dispositivo venduto direttamente sul Google Store riceve aggiornamenti completi per almeno tre anni, sia per il sistema operativo che per la sicurezza. Tuttavia, nel caso di acquisto presso rivenditori terzi, le tempistiche possono slittare anche di settimane. In ambienti aziendali, Google consiglia l’uso di soluzioni MDM (Mobile Device Management) integrate con software di sicurezza mobile, per gestire aggiornamenti e policy da remoto, specialmente nei contesti di smart working o accesso remoto a dati aziendali.
L’attuale modello di distribuzione evidenzia però una forte disparità tra utenti, con chi ha dispositivi top di gamma che resta relativamente protetto e chi usa modelli entry-level che rischia di non vedere mai le patch. È proprio in questo vuoto di aggiornamenti che si inserisce il rischio maggiore, con milioni di dispositivi che resteranno vulnerabili a falle critiche nonostante le patch esistano e siano disponibili nel repository AOSP.
L’attenzione per la sicurezza Android non può quindi ridursi alla semplice attesa degli aggiornamenti ufficiali: per chi non riceve più patch, l’unica alternativa è valutare un cambio di dispositivo o implementare software di protezione di terze parti, consapevoli però che anche questi strumenti non possono risolvere falle a livello di sistema operativo.