È stato rilasciato l’Android Security Bulletin del mese di marzo 2025: il pacchetto cumulativo di aggiornamenti interviene per correggere 44 vulnerabilità nel sistema operativo mobile di Google e nelle sue componenti.
Tra le vulnerabilità di sicurezza corretta, ce ne sono anche due critiche attualmente sottoposte a uno sfruttamento limitato e mirato.
L’exploit delle vulnerabilità potrebbe consentire di condurre attacchi di tipo:
- Denial of Service
- Elevation of Privilege
- Information Disclosure
- Remote Code Execution
Come di consueto, l’Android Security Bulletin di marzo 2025 è stato suddiviso in due pacchetti cumulativi di aggiornamenti: il primo, catalogato come 2025-03-01 security patch level, riguarda le principali componenti del sistema operativo Android 12, 12L, 13, 14 e 15 con patch di sicurezza precedenti a febbraio 2025.
Il secondo, catalogato come 2025-03-05 security patch level, affronta e risolve i problemi di sicurezza identificati nei componenti hardware e dei fornitori closed-source.
Ulteriori dettagli sugli aggiornamenti dell’Android Security Bulletin di marzo 2025 sono disponibili sulla pagina dedicata.
Indice degli argomenti
I dettagli delle due vulnerabilità critiche
Come dicevamo, l’Android Security Bulletin del mese di marzo 2025 contiene gli aggiornamenti di sicurezza per 44 vulnerabilità identificate nel sistema operativo mobile di Google e nelle sue principali componenti.
Tra queste, anche due vulnerabilità critiche di cui analizziamo in dettaglio le principali caratteristiche.
La prima, tracciata come CVE-2024-43093 e identificata nel componente Framework di Android, è di tipo EoP (Elevation of Privilege) e potrebbe consentire agli aggressori di accedere senza alcuna autorizzazione alle directory “Android/data”, “Android/obb” e “Android/sandbox”, oltre che alle rispettive sottodirectory.
Il suo sfruttamento potrebbe, quindi, consentire agli attori della minaccia di ottenere il pieno controllo del dispositivo, esfiltrare dati sensibili o distribuire malware in modo silente.
La vulnerabilità ha ottenuto un indice di gravità “Elevato” in quanto presenta una bassa complessità di sfruttamento ma un elevato impatto e interessa le versioni 12, 12L, 13, 14 e 15 di Android.
La seconda vulnerabilità critica corretta in occasione del rilascio dell’Android Security Bulletin del mese di marzo 2025 è stata tracciata come CVE-2024-50302 e identificata nel Kernel di Android.
Anche questa è una falla di escalation dei privilegi che interessa il componente HID USB del kernel Linux: il suo sfruttamento potrebbe portare a una perdita di memoria non inizializzata del kernel per un attaccante locale attraverso rapporti HID appositamente creati.
È importante sottolineare che la CVE-2024-50302 è una delle tre vulnerabilità concatenate in un exploit zero-day ideato da Cellebrite per penetrare nei telefoni Android.
In particolare, l’exploit delle tre vulnerabilità CVE-2024-53104, CVE-2024-53197 e CVE-2024-50302 ha consentito di ottenere privilegi elevati e, molto probabilmente, distribuire lo spyware Android NoviSpy.
Ecco come aggiornare i dispositivi Android
Google ha già rilasciato tutte le patch di sicurezza Android ai propri partner con un mese di anticipo rispetto alla pubblicazione del bollettino di sicurezza, pubblicandole nel repository Android Open Source Project (AOSP).
Ciò non toglie che tutti gli aggiornamenti dovrebbero essere installati il prima possibile: alcuni o tutti, a seconda del dispositivo, possono essere applicati automaticamente tramite i servizi Google Play; altri, invece, potrebbero essere inviati all’utente sotto forma di un aggiornamento da parte dell’operatore o del produttore del dispositivo, e alcuni potrebbero non essere necessari.
I dispositivi Android più economici e meno aggiornati potrebbero non vedere mai gli aggiornamenti.
In tutti i casi, soprattutto quando i dispositivi vengono utilizzati in ambito aziendale e produttivo, è opportuno installare una buona soluzione di sicurezza (ancora meglio se integrata nell’eventuale client di Mobile Device Management per il controllo remoto e centralizzato dei dispositivi usati per lo smart working) in grado di garantire un elevato livello di protezione dei dati e delle informazioni riservate archiviate in memoria.
Per aggiornare un dispositivo Android, è sufficiente andare su Impostazioni/Sistema/Aggiornamento sistema e selezionare Controlla aggiornamenti. In alternativa, si può accedere al menu Impostazioni/Sicurezza e privacy/Aggiornamenti e selezionare Aggiornamento di sicurezza.
Da segnalare che, se il dispositivo utilizza ancora Android 10 o versioni precedenti, vuol dire che ha raggiunto la fine del ciclo di vita (EoL) da settembre 2022 (per la versione 10) e non riceverà le correzioni per i difetti di cui sopra.
Tuttavia, alcuni aggiornamenti importanti potrebbero comunque essere distribuiti tramite gli aggiornamenti di sistema di Google Play: per scaricarli e installarli, accediamo al menu Impostazioni/Sicurezza e privacy/Aggiornamenti e selezioniamo la voce Aggiornamento di sistema di Google Play.
Per quanto tempo si ricevono gli aggiornamenti Android
Le politiche di aggiornamento di Google prevedono che i dispositivi ricevano aggiornamenti per la versione di Android installata per almeno tre anni dalla data di introduzione sul Google Store, mentre gli aggiornamenti di sicurezza saranno garantiti per tre anni dalla data di introduzione nella versione statunitense del Google Store.
Per quanto riguarda, invece, la velocità di rilascio, se i dispositivi sono stati acquistati direttamente sul Google Store allora gli aggiornamenti arriveranno entro un paio di settimane, mentre per i modelli acquistati da rivenditori di terze parti potrebbe volerci più tempo, come indicato sul sito di supporto di Google.
