Google ha rilasciato l’Android Security Bulletin per il mese di giugno 2025: il pacchetto cumulativo di aggiornamenti interviene per correggere 36 vulnerabilità, tutte con indice di gravità elevato.
Al momento non ci sono notizie di eventuali sfruttamenti in attacchi in rete.
L’exploit delle vulnerabilità potrebbe consentire di condurre attacchi di tipo:
- Elevation of Privilege
- Information Disclosure
- Denial of Service
Come di consueto, l’Android Security Bulletin di giugno 2025 è stato suddiviso in due pacchetti cumulativi di aggiornamenti: il primo, catalogato come 2025-06-01 security patch level, riguarda le principali componenti del sistema operativo Android 13, 14 e 15 con patch di sicurezza precedenti a giugno 2025.
Il secondo, catalogato come 2025-06-05 security patch level, affronta e risolve i problemi di sicurezza identificati nei componenti hardware e dei fornitori closed-source.
Ulteriori dettagli sugli aggiornamenti dell’Android Security Bulletin di giugno 2025 sono disponibili sulla pagina dedicata.
Indice degli argomenti
Aggiornamenti Android giugno 2025: la vulnerabilità più grave
La vulnerabilità più grave corretta da Google in occasione del rilascio dell’Android Security Bulletin è la CVE-2025-26443: come si legge nel relativo bollettino di sicurezza, si tratta di un problema di escalation dei privilegi locali nel componente System.
Ciò significa che un eventuale attaccante potrebbe prendere il pieno controllo del sistema operativo Android e, di conseguenza del dispositivo esposto.
L’indice di gravità elevato anziché critico è dovuto al fatto che lo sfruttamento della vulnerabilità non richiede privilegi aggiuntivi, ma è comunque necessaria l’interazione dell’utente.
I dettagli delle altre vulnerabilità
Come dicevamo, le vulnerabilità corrette con gli aggiornamenti dell’Android Security Bulletin del mese di giugno 2025 possono portare ad attacchi DoS, escalation dei privilegi o divulgazione di informazioni.
In particolare, le vulnerabilità sono state corrette nei componenti Framework, System e Runtime di Android, nonché nei componenti di terze parti di ARM e Imagination Technologies.
Gli ultimi aggiornamenti Android saranno distribuiti dai produttori di smartphone come LGE, Motorola e Samsung ai propri utenti. La stessa Google deve ancora pubblicare il suo avviso mensile per i telefoni Pixel.
Ad oggi, solo Motorola ha pubblicato un avviso relativo alle ultime vulnerabilità.
Le vulnerabilità nei driver Qualcomm
L’Android Security Bulletin del mese di giugno 2025 risolve anche diverse vulnerabilità ad alto rischio scoperte nei componenti Qualcomm, ma tra queste non ci sono le CVE-2025-21479, CVE-2025-21480 e CVE-2025-27038 che la stessa Qualcomm ha reso note lunedì 2 giugno, avvertendo i clienti del loro sfruttamento attivo in attacchi mirati in rete.
Le tre vulnerabilità zero-day sono state identificate nel driver della GPU Adreno e interessano decine di chipset.
Le prime due vulnerabilità (CVE-2025-21479 e CVE-2025-21480) sono entrambe vulnerabilità di autorizzazione errata del framework grafico che possono portare alla corruzione della memoria a causa dell’esecuzione non autorizzata di comandi della GPU durante l’esecuzione di una sequenza specifica di comandi.
La CVE-2025-27038, invece, è una vulnerabilità di tipo “use after free” (UAF, uso di memoria dinamica, anche se già deallocata, a causa di un errore nel codice) che causa la corruzione della memoria durante il rendering grafica da parte dei driver GPU Adreno in Chrome.
Come si legge nei relativi bollettini di sicurezza, “le patch per i problemi che interessano il driver della unità di elaborazione grafica (GPU) Adreno sono state messe a disposizione degli OEM a maggio, insieme alla forte raccomandazione di distribuire l’aggiornamento sui dispositivi interessati il prima possibile”.
Le tre vulnerabilità zero-day sono state osservate in attacchi mirati dal Threat Analysis Group di Google, ma a quanto pare le patch non sono ancora state integrate nel sistema operativo Android.
Da segnalare che, in passato, altre vulnerabilità dei chipset Qualcomm erano state sfruttate in attacchi di tipo spyware.
Ecco come aggiornare i dispositivi Android
Nel bollettino di sicurezza pubblicato in occasione del rilascio dell’Android Security Bulletin del mese di maggio 2025, Google sottolinea come lo sfruttamento di molti problemi di Android sia stato reso più difficile grazie ai continui miglioramenti apportati alle nuove versioni della piattaforma mobile.
Proprio per questo motivo, è essenziale, ove possibile, aggiornare i propri dispositivi alla versione più recente di Android.
È bene ricordare che Google ha già rilasciato tutte le patch di sicurezza Android ai propri partner con un mese di anticipo rispetto alla pubblicazione del bollettino di sicurezza, pubblicandole nel repository Android Open Source Project (AOSP).
Alcuni o tutti questi aggiornamenti, a seconda del dispositivo, possono essere applicati automaticamente tramite i servizi Google Play; altri, invece, potrebbero essere inviati all’utente sotto forma di un aggiornamento da parte dell’operatore o del produttore del dispositivo, e alcuni potrebbero non essere necessari.
I dispositivi Android più economici e meno aggiornati potrebbero non vedere mai gli aggiornamenti.
In tutti i casi, soprattutto quando i dispositivi vengono utilizzati in ambito aziendale e produttivo, è opportuno installare una buona soluzione di sicurezza (ancora meglio se integrata nell’eventuale client di Mobile Device Management per il controllo remoto e centralizzato dei dispositivi usati per lo smart working) in grado di garantire un elevato livello di protezione dei dati e delle informazioni riservate archiviate in memoria.
Per aggiornare un dispositivo Android, è sufficiente andare su Impostazioni/Sistema/Aggiornamento sistema e selezionare Controlla aggiornamenti. In alternativa, si può accedere al menu Impostazioni/Sicurezza e privacy/Aggiornamenti e selezionare Aggiornamento di sicurezza.
Da segnalare che, se il dispositivo utilizza ancora Android 10 o versioni precedenti, vuol dire che ha raggiunto la fine del ciclo di vita (EoL) da settembre 2022 (per la versione 10) e non riceverà le correzioni per i difetti di cui sopra. Analogamente per i dispositivi con Android 11, che ha raggiunto la fine del ciclo di vita lo scorso 5 febbraio 2024.
Tuttavia, alcuni aggiornamenti importanti potrebbero comunque essere distribuiti tramite gli aggiornamenti di sistema di Google Play: per scaricarli e installarli, accediamo al menu Impostazioni/Sicurezza e privacy/Aggiornamenti e selezioniamo la voce Aggiornamento di sistema di Google Play.
Per quanto tempo si ricevono gli aggiornamenti Android
Le politiche di aggiornamento di Google prevedono che i dispositivi ricevano aggiornamenti per la versione di Android installata per almeno tre anni dalla data di introduzione sul Google Store, mentre gli aggiornamenti di sicurezza saranno garantiti per tre anni dalla data di introduzione nella versione statunitense del Google Store.
Per quanto riguarda, invece, la velocità di rilascio, se i dispositivi sono stati acquistati direttamente sul Google Store allora gli aggiornamenti arriveranno entro un paio di settimane, mentre per i modelli acquistati da rivenditori di terze parti potrebbe volerci più tempo, come indicato sul sito di supporto di Google per Android.
