Allarme sicurezza Android: vulnerabilità 0-click mette a rischio milioni di dispositivi

Android: a rischio milioni di dispositivi. Allarme sicurezza vulnerabilità 0-click

Una recente scoperta ha messo a rischio la sicurezza di milioni di dispositivi Android: una vulnerabilità “0-click” consente ad hacker di prendere il controllo del telefono senza bisogno di alcuna azione da parte dell’utente. Se il tuo smartphone non è aggiornato all’ultima patch di sicurezza, potresti essere vulnerabile. Aggiorna subito il sistema operativo, controlla la versione della patch nelle impostazioni e usa solo app ufficiali e aggiornate. Evita di aprire file sospetti o ricevuti da contatti non verificati, anche messaggi audio.

Una minaccia invisibile: cos’è la vulnerabilità 0-click

Negli ultimi giorni di novembre 2025, Google e ricercatori internazionali hanno lanciato l’allarme su una vulnerabilità crittica che colpisce i dispositivi Android, classificata come “0-click remote code execution” (RCE). Questa falla, identificata come CVE-2025-48593 e ulteriori varianti legate alla decodifica audio Dolby (CVE-2025-54957), permette a malintenzionati di eseguire codice a distanza sul dispositivo vittima senza che l’utente debba compiere nessuna azione: non serve cliccare su link, aprire allegati o installare applicazioni. Basta che il dispositivo riceva un dato appositamente manipolato da un aggressore esperto.

La gravità principale risiede nella possibilità per l’attaccante di ottenere il pieno controllo del telefono, con conseguenze che vanno dal furto di dati sensibili all’installazione di malware in grado di spiare le attività o diffondersi ulteriormente nella rete, mettendo a rischio l’ambiente familiare o aziendale.

Dispositivi colpiti e portata della minaccia

I dispositivi Android interessati sono quelli con sistema operativo Android 13, 14, 15 e 16 non ancora aggiornati con la patch di sicurezza rilasciata dal 1° novembre 2025 in poi. Il problema nasce da una falla in componenti fondamentali del sistema Android, presente in ogni dispositivo compatibile, senza distinzione di marca: sia Google Pixel che Samsung, così come altri brand che utilizzano la decodifica audio Dolby Digital Plus, sono esposti.

La variante ricercata da Google Project Zero (CVE-2025-54957) riguarda in particolare la libreria Dolby DDPlus Unified Decoder. Qui l’attacco può avvenire attraverso un file audio elaborato inviato via messaggistica (ad esempio con RCS – Rich Communication Services), che viene auto-processato dal sistema senza intervento dell’utente. Questa particolarità rende Android più vulnerabile di altri sistemi, poiché la pipeline di elaborazione audio permette l’esecuzione automatica della minaccia.

Come funziona l’attacco

Il cuore della vulnerabilità è un errore nella gestione della memoria. In particolare, quando il decoder audio analizza informazioni “evolution” contenute in un file Dolby Digital Plus, può commettere un errore di calcolo della lunghezza del dato, provocando un “buffer overflow” (sovrascrittura della memoria). Un file audio appositamente manipolato può quindi sovrascrivere aree di memoria sensibili e permettere l’esecuzione di codice dannoso direttamente nel processo di sistema deputato alla decodifica (mediacodec).

Google Project Zero ha dimostrato la fattibilità dell’attacco inviando un messaggio audio malevolo tramite RCS a un Pixel 9, che ha elaborato la traccia senza che l’utente intervenisse, attivando il malware con successo. Su dispositivi Samsung e piattaforme diverse (Windows, macOS, iOS) lo stesso file ha provocato crash o malfunzionamenti, ma senza esecuzione codice automatica: questo rende il problema particolarmente urgente su Android.

Gravità e conseguenze

  • Nessuna azione richiesta dall’utente: il telefono può essere compromesso senza aprire file o link.
  • Privilegi estesi: l’attacco non necessita di permessi particolari né di autenticazione.
  • Impatto su dati personali e aziendali: furto d’informazioni, sms, foto, accesso alle app bancarie, sorveglianza attiva e installazione di ransomware.
  • Potenziale diffusione laterale: in caso di ambiente aziendale o dispositivi connessi alla stessa rete, un attacco potrebbe propagarsi o causare danni a catena.

Soluzioni ufficiali e mitigazioni

Google ha agito con tempestività: il 3 novembre 2025 è stata pubblicata una patch di sicurezza che risolve la vulnerabilità. Anche i produttori di dispositivi stanno rilasciando aggiornamenti. Tuttavia, la patch potrebbe non essere immediatamente disponibile su tutti i modelli, specialmente quelli di fascia medio-bassa o meno recenti.

Per sapere se sei protetto:

  • Accedi al menu Impostazioni > Sicurezza del tuo dispositivo Android.
  • Verifica che il livello di patch di sicurezza sia datato 2025-11-01 o successivo.

Se il tuo telefono ha una patch più vecchia, attendi l’aggiornamento del produttore e nel frattempo limita i rischi seguendo i consigli sotto.

Ulteriori vulnerabilità collegate

Contestualmente alla falla principale, Google ha segnalato anche una vulnerabilità di “elevazione dei privilegi” (CVE-2025-48581), anch’essa corretta con gli ultimi aggiornamenti. Sebbene meno grave dell’RCE 0-click, rappresenta comunque un rischio aggiuntivo se sommata ad altre falle o in ambiente compromesso.

Raccomandazioni immediate – cosa puoi fare ora

Consigli rapidi (per tutti gli utenti):

  • Aggiorna subito il sistema operativo Android: installa tutte le patch disponibili senza rimandare.
  • Controlla la versione della patch di sicurezza (deve essere 2025-11-01 o successiva).
  • Evita di usare app di messaggistica non ufficiali o di dubbia provenienza.
  • Non scaricare file audio, immagini o allegati da contatti sospetti o sconosciuti.
  • Attiva Google Play Protect e mantieni attivo l’antivirus, ma sappi che in questo caso la loro protezione è solo parziale.
  • Se l’aggiornamento non è ancora disponibile per il tuo modello, limita l’uso di servizi di messaggistica avanzati (come RCS) e sii particolarmente attento a comportamenti anomali del dispositivo.

Il futuro della sicurezza Android: cosa aspettarsi

Le vulnerabilità “zero-click” rappresentano un salto qualitativo nelle minacce informatiche, poiché neutralizzano la prudenza dell’utente: anche chi non scarica mai app non ufficiali o è attento nella navigazione, può essere colpito da un attacco simile.

Google e la community open-source stanno migliorando progressivamente la sicurezza di Android, introducendo meccanismi di verifica avanzati e aggiornamenti più rapidi. Tuttavia, il panorama estremamente frammentato dei produttori Android continua a costituire una debolezza: la tempestività nelle patch varia da modello a modello.

Per mitigare rischi futuri:

  • Abilita gli aggiornamenti automatici sia del sistema che delle app dallo store ufficiale.
  • Preferisci dispositivi supportati direttamente dal produttore (ad esempio la linea Google Pixel) in quanto ricevono aggiornamenti più rapidi.
  • Monitora spesso le notizie di sicurezza del produttore del tuo telefono.
  • In ambienti aziendali, implementa politiche MDM (Mobile Device Management) che consentano aggiornamenti centralizzati e blocchino le funzioni non essenziali.
  • Fai attenzione a comportamenti anomali (batteria che si consuma rapidamente, rallentamenti, app sconosciute).

Consigli avanzati e azioni da intraprendere

  • Esamina periodicamente i permessi concessi alle app e rimuovi quelli superflui.
  • Esegui backup regolari dei dati su cloud o supporti esterni affidabili.
  • Considera l’uso di un secondo account senza privilegi amministrativi per l’uso quotidiano.
  • In caso di sospetta compromissione, esegui subito un ripristino alle impostazioni di fabbrica (dopo il backup) e aggiorna il sistema prima di reinstallare le app.

La sicurezza informatica richiede attenzione costante: resta aggiornato, applica le patch non appena disponibili e non sottovalutare nessun avviso di sicurezza per difendere privacy e dati.

Fonte: https://gbhackers.com/android-hit-by-0-click-rce-vulnerability

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto