Android sotto attacco: scoperta vulnerabilità 0-day nel Runtime, urgente aggiornare

Android sotto attacco: scoperta vulnerabilità 0-day nel Runtime, urgente aggiornare

Una nuova vulnerabilità 0-day, denominata CVE-2025-48543, è stata scoperta nel componente Android Runtime, il cuore del sistema operativo Android che gestisce le app. Questa falla è già sfruttata attivamente da cyber-criminali per ottenere il controllo totale del dispositivo, superare le sandbox di sicurezza e avere accesso a dati sensibili. Google e le agenzie di sicurezza internazionali, tra cui CISA, hanno rilasciato patch e consigli urgenti: aggiorna subito il sistema operativo e app, verifica il livello di patch di sicurezza, evita app sconosciute, abilita Google Play Protect, e adotta comportamenti prudenti. La tempestività nella risposta è fondamentale: agire ora riduce fortemente i rischi di furti dati, malware persistente e disabilitazione delle difese del telefono.

Cos’è la vulnerabilità CVE-2025-48543 e perché è così grave

La vulnerabilità CVE-2025-48543 è una falla di tipo use-after-free nel modulo Android Runtime (ART), responsabile dell’esecuzione delle app Java e Kotlin su Android. Un “use-after-free” si verifica quando un programma continua a utilizzare della memoria che è stata già liberata: questo può portare a comportamenti imprevisti, crash, ed è soprattutto una porta d’ingresso per l’esecuzione di codice dannoso.

Nel caso di Android, gli hacker possono sfruttare questa falla per:

  • Evadere la sandbox di sicurezza di Chrome, ottenendo accesso a livello di sistema.
  • Prendere il controllo del processo di sistema più privilegiato, chiamato system_server.
  • Installare malware permanente, disabilitare controlli di sicurezza, accedere a dati personali.

Particolarmente preoccupante è il fatto che non è necessaria alcuna interazione da parte dell’utente per la compromissione: basta visitare un sito trappola o ricevere un payload tramite app vulnerabile.

Chi è a rischio e quali dispositivi sono coinvolti

La vulnerabilità interessa una vasta gamma di dispositivi Android, in particolare quelli che utilizzano versioni dalla 13 in su (Android 13, 14, 15, 16) e che non hanno ancora ricevuto il security patch level 2025-09-05 o successivo. Gli attacchi sono già stati osservati in natura, in contesti mirati contro utenti, aziende e infrastrutture critiche.

I dispositivi venduti con Google Services hanno una protezione aggiuntiva grazie a Google Play Protect, ma chi utilizza versioni modificate, OEM poco aggiornati o scarica app fuori dagli store ufficiali è molto più vulnerabile.

Come funziona l’exploit: il lato tecnico

In termini tecnici, l’attacco si articola in più fasi:

  1. Compromissione del processo Chrome renderer tramite tecniche di evasione sandbox.
  2. Sfruttamento della falla “use-after-free” in ART per prendere controllo della memoria liberata (“dangling pointer exploitation”).
  3. Escalation dei privilegi per ottenere accesso al processo system_server.
  4. Azioni malevole: esecuzione di codice arbitrario, installazione di malware stealth, accesso e sottrazione di dati.

La catena di exploit è particolarmente insidiosa perché combina vulnerabilità note in componenti d’uso quotidiano (browser, runtime delle app) e consente di bypassare controlli di sicurezza che sono alla base dell’infrastruttura Android.

Quali sono le conseguenze potenziali

Le implicazioni di questa vulnerabilità sono gravi:

  • Controllo completo del dispositivo: L’attaccante può agire come un superutente, accedere a microfono, fotocamera, messaggi, dati bancari, custodire malware invisibile.
  • Disabilitazione delle difese: ransomware e spyware possono disattivare Play Protect, firewall, antivirus.
  • Furto di identità e dati sensibili: le informazioni personali, aziendali e finanziarie sono a rischio.
  • Infezione persistente: anche dopo il riavvio, il malware può restare attivo.

Come proteggersi: azioni immediate e consigli essenziali

Google, CISA e i centri di risposta hanno pubblicato rapidamente le patch necessarie. Segui subito questi consigli pratici fondamentali:

  • Aggiorna immediatamente il sistema operativo Android: Vai su “Impostazioni” > “Informazioni sul telefono” > “Aggiornamento software” e installa la patch 2025-09-05 o successiva.
  • Abilita Google Play Protect: è attivo su tutti i dispositivi Android con Google Services ma controllane lo stato in “Impostazioni” > “Sicurezza”.
  • Scarica solo app dagli store ufficiali: il rischio di app malevole è altissimo negli store alternativi o fonti ignote.
  • Non ignorare le notifiche di sicurezza: gli avvisi di aggiornamento o di rilevazione malware devono essere accolti con tempestività.

Per le aziende e gli amministratori IT

Se gestisci flotte di dispositivi, presta attenzione a queste best practice:

  • Verifica lo stato di aggiornamento su tutti i device aziendali
  • Imposta policy di aggiornamento forzato e patch management centralizzato.
  • Monitora i log di accesso e i processi di sistema per comportamenti anomali.
  • Forma gli utenti sui rischi e sulle procedure di sicurezza.

Approfondimento: l’evoluzione della sicurezza Android

Android è il sistema operativo mobile più diffuso al mondo, e la sua sicurezza si basa su processi di isolamento, sandboxing applicativo e aggiornamenti continui. Tuttavia, il ciclo di patching non è sempre immediato: molti produttori tardano a distribuire gli aggiornamenti.

Le versioni recenti di Android includono miglioramenti strutturali per rendere più difficile lo sfruttamento delle vulnerabilità, ma il gap tra rilascio delle patch e aggiornamento effettivo dei dispositivi rappresenta il vero tallone d’Achille.

Google Play Protect offre una barriera addizionale contro le app potenzialmente dannose, usato soprattutto quando si scaricano applicazioni da fonti diverse da Play Store. Tuttavia, la sicurezza più efficace rimane quella proattiva: aggiornare tempestivamente.

Timeline e risposta globale

  • Agosto-Settembre 2025: rilevazione dei primi attacchi mirati che sfruttano CVE-2025-48543.
  • 2 settembre 2025: pubblicazione della Android Security Bulletin.
  • 4 settembre 2025: CISA emette allerta ufficiale e fissa il 25 settembre 2025 come data limite per le mitigazioni.
  • Distribuzione patch: Google invia aggiornamenti a tutti i vendor. Non tutti i produttori però sono tempestivi.

Cosa fare se non puoi aggiornare subito

Per chi ha dispositivi obsoleti o non più supportati:

  • Evita di usare app sensibili (bancarie, di chat privata, ecc.).
  • Disinstalla applicazioni non critiche e riduci al minimo le app con permessi elevati.
  • Valuta l’uso di una soluzione mobile antivirus aggiornata.
  • Usa solo reti protette e VPN, non connettere il dispositivo a WiFi pubblici sconosciuti.

Sintomi possibili di infezione

Stai attento a questi segnali:

  • Maggiore consumo della batteria o surriscaldamento senza motivo.
  • Avvisi anomali di sicurezza o permessi richiesti da app insospettate.
  • Impostazioni che cambiano da sole (disattivazione Play Protect, variazione password).
  • Comportamenti strani del browser o delle app social.

Per la massima sicurezza, aggiorna sempre il sistema operativo Android appena rilasciata una nuova patch, utilizza la scansione automatica di Google Play Protect, limita i permessi delle app alle sole necessità indispensabili, monitora costantemente le notifiche di sicurezza e forma regolarmente utenti e dipendenti sui rischi di attacchi zero-day. Considera la sostituzione di dispositivi obsoleti e implementa backup regolari cifrati dei dati sensibili.

Fonte: https://gbhackers.com/cisa-issues-alert-on-android-0-day-use-after-free-vulnerability

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto