Sono 62 le vulnerabilità su cui impatta l’Android Security Bulletin del mese di aprile 2025: tra queste anche due zero-day che, secondo il bollettino di sicurezza pubblicato da Google, risultano essere già attivamente sfruttate in attacchi in rete.
L’exploit delle vulnerabilità potrebbe consentire di condurre attacchi di tipo:
- Denial of Service
- Elevation of Privilege
- Information Disclosure
Come di consueto, l’Android Security Bulletin di aprile 2025 è stato suddiviso in due pacchetti cumulativi di aggiornamenti: il primo, catalogato come 2025-04-01 security patch level, riguarda le principali componenti del sistema operativo Android 13, 14 e 15 con patch di sicurezza precedenti ad aprile 2025.
Il secondo, catalogato come 2025-04-05 security patch level, affronta e risolve i problemi di sicurezza identificati nei componenti hardware e dei fornitori closed-source.
Ulteriori dettagli sugli aggiornamenti dell’Android Security Bulletin di aprile 2025 sono disponibili sulla bollettino android.
Indice degli argomenti
I dettagli delle due vulnerabilità critiche
Come dicevamo, l’Android Security Bulletin di aprile 2025 interviene per correggere anche due vulnerabilità zero-day già sfruttate attivamente in rete.
La prima, tracciata come CVE-2024-53197 e con un indice di gravità CVSS di 7.8 su 10, è stata identificata nel driver audio USB del kernel Linux per i dispositivi ALSA e potrebbe consentire agli attaccanti l’escalation dei privilegi sui sistemi esposti.
Dalle poche informazioni tecniche che si hanno a riguardo, la vulnerabilità sarebbe stata sfruttata dalle autorità serbe per sbloccare dispositivi Android confiscati, come parte di una catena di exploit zero-day sviluppata dalla società israeliana di digital forensics Cellebrite.
Questa stessa catena di exploit, scoperta dal Security Lab di Amnesty International a metà del 2024, comprendeva anche una zero-day in USB Video Class (CVE-2024-53104) corretta in occasione dell’Android Security Bulletin di febbraio 2025 e una seconda vulnerabilità zero-day in Human Interface Devices (CVE-2024-50302) corretta il mese scorso.
La seconda vulnerabilità zero day corretta in occasione dell’Android Security Bulletin di aprile 2025 è stata tracciata come CVE-2024-53150. Qualora venisse sfruttata, darebbe origine a un problema di divulgazione delle informazioni del kernel Android causata da una debolezza di lettura “out-of-bounds” che può consentire ad aggressori locali di accedere a informazioni sensibili sui dispositivi vulnerabili, senza richiedere alcuna interazione dell’utente.
Ecco come aggiornare i dispositivi Android
Google ha già rilasciato tutte le patch di sicurezza Android ai propri partner con un mese di anticipo rispetto alla pubblicazione del bollettino di sicurezza, pubblicandole nel repository Android Open Source Project (AOSP).
Ciò non toglie che tutti gli aggiornamenti dovrebbero essere installati il prima possibile: alcuni o tutti, a seconda del dispositivo, possono essere applicati automaticamente tramite i servizi Google Play; altri, invece, potrebbero essere inviati all’utente sotto forma di un aggiornamento da parte dell’operatore o del produttore del dispositivo, e alcuni potrebbero non essere necessari.
I dispositivi Android più economici e meno aggiornati potrebbero non vedere mai gli aggiornamenti.
In tutti i casi, soprattutto quando i dispositivi vengono utilizzati in ambito aziendale e produttivo, è opportuno installare una buona soluzione di sicurezza (ancora meglio se integrata nell’eventuale client di Mobile Device Management per il controllo remoto e centralizzato dei dispositivi usati per lo smart working) in grado di garantire un elevato livello di protezione dei dati e delle informazioni riservate archiviate in memoria.
Per aggiornare un dispositivo Android, è sufficiente andare su Impostazioni/Sistema/Aggiornamento sistema e selezionare Controlla aggiornamenti. In alternativa, si può accedere al menu Impostazioni/Sicurezza e privacy/Aggiornamenti e selezionare Aggiornamento di sicurezza.
Da segnalare che, se il dispositivo utilizza ancora Android 10 o versioni precedenti, vuol dire che ha raggiunto la fine del ciclo di vita (EoL) da settembre 2022 (per la versione 10) e non riceverà le correzioni per i difetti di cui sopra. Analogamente per i dispositivi con Android 11, che ha raggiunto la fine del ciclo di vita lo scorso 5 febbraio 2024.
Tuttavia, alcuni aggiornamenti importanti potrebbero comunque essere distribuiti tramite gli aggiornamenti di sistema di Google Play: per scaricarli e installarli, accediamo al menu Impostazioni/Sicurezza e privacy/Aggiornamenti e selezioniamo la voce Aggiornamento di sistema di Google Play.
Per quanto tempo si ricevono gli aggiornamenti Android
Le politiche di aggiornamento di Google prevedono che i dispositivi ricevano aggiornamenti per la versione di Android installata per almeno tre anni dalla data di introduzione sul Google Store, mentre gli aggiornamenti di sicurezza saranno garantiti per tre anni dalla data di introduzione nella versione statunitense del Google Store.
Per quanto riguarda, invece, la velocità di rilascio, se i dispositivi sono stati acquistati direttamente sul Google Store allora gli aggiornamenti arriveranno entro un paio di settimane, mentre per i modelli acquistati da rivenditori di terze parti potrebbe volerci più tempo, come indicato sul sito di supporto di Google per android.
Incogni: protegge l’identità online
Per chi cerca maggiore sicurezza, Incogni è un servizio online che si occupa di rimuovere informazioni personali dai broker di dati e dai siti di ricerca di persone per proteggere la privacy degli utenti. I piani di abbonamento sono:
Incogni standard: 7.29 euro al mese, con un risparmio di 87 euro all’anno. Fatturato annualmente a 87.48 euro (inclusa IVA/tassa di vendita).
Incogni family: 15.49 euro al mese, con un risparmio di 185 all’anno all’anno. Fatturato annualmente a 185.88 euro.
Incogni family unlimited: 25.49 euro al mese, con un risparmio di 305 euro all’anno. Fatturato annualmente a 305.88 euro.
Incogni unlimited (il più popolare): 12.99 euro al mese, con un risparmio di 155 euro all’anno. Fatturato annualmente a 155.88 euro.
Vantaggi di Incogni
- Diminuzione delle chiamate spam e delle frodi telefoniche.
- Ridotta esposizione ai cyberattacchi.
- Riduzione dei rischi finanziari.
- Minore visibilità online delle informazioni personali.
- Processo di rimozione dati con Incogni
- Inizio con una scansione dei siti di ricerca persone.
- Invio di richieste di rimozione ai broker dati.
- Monitoraggio continuo e invio di richieste ricorrenti per mantenere i dati privati.
- Rapporti di progresso regolari per tenere informato l’utente.
