Google ha emesso un avviso urgente riguardante una vulnerabilità critica in Android che consente agli aggressori di eseguire codice arbitrario sul dispositivo senza alcuna interazione da parte dell’utente. La vulnerabilità Zero Click è stata scoperta in componenti di sistema del sistema operativo e descritta nel Bollettino sulla sicurezza Android di novembre 2025.

La vulnerabilità, identificata come CVE-2025-48593, è considerata una delle più pericolose degli ultimi anni. Colpisce diverse versioni dell’Android Open Source Project (AOSP), dalla 13 alla 16, e può essere sfruttata per l’esecuzione di codice remoto ( RCE ) senza richiedere privilegi aggiuntivi o azioni da parte del proprietario del dispositivo.

Google stima che gli aggressori possano sfruttare il bug inviando pacchetti di rete appositamente creati o distribuendo app dannose tramite store di terze parti e installazioni sideloaded. Un attacco riuscito consente l’accesso completo al dispositivo, inclusa la possibilità di rubare dati, installare ransomware o trasformare lo smartphone in un componente botnet. Il problema è stato registrato internamente con l’ID bug Android A-374746961 ed è già stato risolto nelle ultime build di AOSP.

La vulnerabilità deriva da una gestione impropria dei processi di sistema, che consente l’iniezione di codice arbitrario durante le normali operazioni, ad esempio durante l’avvio di app o la sincronizzazione dei dati in background. I ricercatori osservano che i sintomi della vulnerabilità sono simili a quelli di precedenti episodi di danneggiamento della memoria utilizzati per aumentare i privilegi sul dispositivo.

Il bollettino identifica anche un’altra vulnerabilità, il CVE-2025-48581. È classificata come vulnerabilità di escalation dei privilegi (EoP) di gravità elevata ed è presente anche nel componente di sistema. A differenza dell’RCE, lo sfruttamento richiede un accesso preventivo al sistema, ma consente a un’applicazione di ottenere il controllo non autorizzato di funzioni sensibili del dispositivo.

I dispositivi con Android 10 e versioni successive potranno ricevere aggiornamenti di sicurezza, ma i possessori di modelli precedenti rischiano di rimanere senza protezione se i produttori ritardano il rilascio delle patch. Google consiglia a tutti gli utenti di verificare la presenza di aggiornamenti il prima possibile tramite Impostazioni > Sistema > Aggiornamento di sistema e di impostare il livello di patch di sicurezza al 2025-11-01, che risolve completamente questi problemi.

L’azienda sottolinea che non sono stati ancora registrati exploit attivi, ma la natura della vulnerabilità la rende particolarmente pericolosa per il governo e le personalità pubbliche, che sono spesso bersaglio di attacchi mirati.

La frammentazione di Android rimane un problema chiave nell’ecosistema, rendendo le risposte tempestive dei produttori fondamentali per la protezione degli utenti. Gli esperti raccomandano di abilitare gli aggiornamenti automatici ed evitare di installare app da fonti non attendibili: questo rimane il modo più affidabile per ridurre al minimo i rischi in un contesto di crescente minaccia per dispositivi mobili.

L'articolo Un pericoloso Exploit Zero-day Zero-click minaccia miliardi di device Android proviene da Red Hot Cyber.