Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

sicurezza mobile

Aggiornamenti Android marzo 2026, corretta una zero-day già sfruttata: cosa fare subito

Home Attacchi hacker e Malware: le ultime news in tempo reale e gli approfondimenti
Partecipa al dibattito
Indirizzo copiato

Google ha rilasciato l’Android Security Bulletin di marzo 2026, il più corposo dell’anno: 129 vulnerabilità corrette di cui una, la CVE-2026-21385 nel componente grafico Qualcomm, risulta già attivamente sfruttata in attacchi mirati. Ecco tutto quello che c’è da sapere per valutare l’esposizione e agire con priorità

Pubblicato il 3 mar 2026
Paolo Tarsitano

Editor Cybersecurity360.it

Aggiornamenti Android

Con 129 vulnerabilità corrette in un singolo rilascio mensile, l’Android Security Bulletin di marzo 2026 si distingue nettamente rispetto ai mesi precedenti: a gennaio Google aveva corretto una sola falla, mentre a febbraio non c’era alcun riferimento a nuove vulnerabilità nel relativo bollettino mensile.

Questo “accumulo” non è casuale: rispecchia la complessità crescente dell’ecosistema Android che oggi comprende componenti di fornitori di chip come Qualcomm, MediaTek, Imagination Technologies, Unisoc e Arm, ciascuno con la propria superficie d’attacco e le proprie tempistiche di disclosure.

Ma al di là del numero, ciò che rende questo bollettino urgente è la presenza di un elemento che non lascia spazio all’attesa: una vulnerabilità zero-day già sfruttata in natura.

La vulnerabilità zero-day che preoccupa di più

La vulnerabilità più critica dal punto di vista operativo è la CVE-2026-21385, classificata con un punteggio CVSS di 7.8.

Si tratta di un buffer over-read (tecnicamente descritto nel relativo bollettino di sicurezza come un integer overflow) nel componente grafico Display dei chipset Qualcomm, causato dall’inserimento di dati controllati dall’utente senza la corretta verifica dello spazio disponibile nel buffer.

Google ha inserito nel bollettino una nota esplicita: “there are indications that CVE-2026-21385 may be under limited, targeted exploitation”. Una formula che, nel linguaggio istituzionale di Google, equivale a confermare che la vulnerabilità è già stata weaponizzata, ossia sfruttata in rete per attacchi mirati, tipicamente di tipo spyware.

La storia della disclosure è altrettanto significativa: il bug è stato segnalato al team di sicurezza di Qualcomm dall’Android Security Team di Google il 18 dicembre 2025. I partner OEM sono stati avvisati il 2 febbraio 2026 e oggi, dopo oltre due mesi dalla scoperta, arriva finalmente l’aggiornamento.

Un lasso di tempo che, per chi attacca con risorse dedicate, è più che sufficiente per sviluppare exploit funzionali. Tenendo conto anche del fatto che i chipset Qualcomm sono presenti in una vastissima gamma di dispositivi Android di fascia media e alta, tra cui Samsung Galaxy, Motorola, OnePlus, Xiaomi, ASUS, Sony e molti altri, per cui la superficie esposta è estremamente ampia.

Le altre vulnerabilità critiche: RCE senza interazione utente

Oltre alla vulnerabilità nel componente grafico di Qualcomm, l’Android Security Bulletin del mese di marzo 2026 corregge un secondo gruppo di falle classificate Critical che meritano attenzione immediata.

Nel componente System, la CVE-2026-0006 è una vulnerabilità di Remote Code Execution (RCE) critica nel sottosistema Media Codecs, che colpisce Android 16. La caratteristica più allarmante è che l’exploit non richiede privilegi aggiuntivi né alcuna interazione da parte dell’utente.

Un attaccante che riesca a raggiungere il dispositivo target, ad esempio tramite un file multimediale appositamente costruito, può eseguire codice arbitrario in modo completamente silenzioso.

Nel componente Framework, la CVE-2026-0047 è una privilege escalation critica che impatta esclusivamente sulla versione Android 16 QPR2. Anche in questo caso, l’exploit non richiede interazione utente.

Sempre nel componente System, la CVE-2025-48631 è una vulnerabilità di tipo Denial of Service che colpisce Android 14, 15, 16 e 16-qpr2: praticamente, l’intera base installata delle versioni supportate.

Infine, ben sette vulnerabilità sono classificate Critical sono state identificate nel Kernel, tutte di tipo Elevation of Privilege (EoP):

  • CVE-2024-43859: Flash-Friendly File System
  • CVE-2026-0037: Protected Kernel-Based Virtual Machine (pKVM)
  • CVE-2026-0038: Hypervisor
  • CVE-2026-0027, CVE-2026-0028, CVE-2026-0030, CVE-2026-0031: tutte relative a pKVM

La concentrazione di falle critiche nel sottosistema pKVM (Protected KVM) è un segnale tecnico importante in quanto pKVM è la tecnologia che Google utilizza per isolare il kernel Android dagli hypervisor in ambienti virtualizzati (inclusi i Pixel con Android Virtualization Framework).

Compromettere pKVM significa, quindi, riuscire potenzialmente a sfuggire ai meccanismi di sandboxing più avanzati del sistema operativo.

Aggiornamenti Android: il quadro completo delle vulnerabilità

Al di là delle vulnerabilità critiche appena analizzate, l’Android Security Bulletin del mese di marzo 2026 corregge un numero importante di falle classificate con un indice di gravità elevato (High):

  • Framework: 26 vulnerabilità di tipo EoP (Elevation of Privilege), 3 di tipo ID (Information Disclosure) e 3 di tipo DoS (Denial of Service);
  • System: 9 di tipo EoP, 7 di tipo Information Disclosure e 3 di tipo DoS;
  • Kernel: 12 di tipo EoP nei componenti TLS, vsock, pKVM con un livello di gravità elevato;
  • Arm: 1 vulnerabilità classificata con livello di gravità elevato nel driver Mali GPU;
  • Imagination Technologies: 7 vulnerabilità di gravità elevata nel PowerVR GPU;
  • MediaTek: 20 vulnerabilità di gravità elevata nei componenti modem, display e KeyInstall;
  • Qualcomm: 6 vulnerabilità nelle componenti open-source e 8 nelle component closed-source, tutte con livello di gravità elevato;
  • Unisoc: 7 vulnerabilità con livello di gravità elevato nel componente modem;
  • Misc OEM: 1 vulnerabilità con livello di gravità elevato nel componente VBMeta.

Questa eterogeneità dei componenti affetti da vulnerabilità riflette una realtà che chi si occupa di mobile security conosce bene: la sicurezza di un dispositivo Android non dipende solo da Google, ma da una catena di fornitori che include i produttori di chip, i costruttori di dispositivi (OEM) e i carrier.

Ogni anello di questa supply chain può introdurre vulnerabilità che non sono correggibili in autonomia da Google, aumentando di fatto l’esposizione al rischio cyber.

Google Play System Updates: la patch silenziosa

Un aspetto spesso sottovalutato nelle analisi dei bollettini di sicurezza Android è il ruolo degli aggiornamenti in Google Play System. Questo meccanismo consente a Google di distribuire aggiornamenti di sicurezza direttamente tramite il Play Store, bypassando i lunghi cicli di aggiornamento degli OEM.

Nel bollettino di marzo 2026, le seguenti vulnerabilità vengono corrette tramite questo meccanismo di aggiornamento:

ComponenteCVE corrette
Documents UICVE-2026-0013
MediaProviderCVE-2025-48544, CVE-2025-48567, CVE-2025-48578, CVE-2025-48579, CVE-2025-48582, CVE-2026-0024, CVE-2026-0035
Media CodecsCVE-2026-0006 (RCE critica)
Permission ControllerCVE-2025-48653
ProfilingCVE-2025-48585, CVE-2025-48587

La presenza della CVE-2026-0006 (RCE critica) tra le patch è una buona notizia: significa che la correzione per questa falla può raggiungere i dispositivi con installato Android 10 e versioni successive, indipendentemente dal fatto che il produttore abbia rilasciato un aggiornamento OTA completo.

Tuttavia, questo non elimina la necessità di aggiornare il firmware del dispositivo per le restanti vulnerabilità.

I due livelli di patch dell’Android Security Bulletin di marzo 2026

Come di consueto, anche l’Android Security Bulletin del mese di marzo 2026 presenta due livelli di patch:

  • 2026-03-01: copre le vulnerabilità Framework e System. È il livello minimo che gli OEM possono implementare rapidamente perché riguarda componenti comuni a tutti i dispositivi Android.
  • 2026-03-05: include tutto il precedente più le patch per Kernel, componenti Arm, MediaTek, Qualcomm, Imagination Technologies e Unisoc. Richiede aggiornamenti firmware specifici per ciascuna piattaforma hardware.

Per verificare il livello di patch del proprio dispositivo: Impostazioni/Informazioni sul telefono/Livello patch di sicurezza Android.

Un dispositivo che mostra “2026-03-05” è completamente aggiornato rispetto a questo bollettino. Uno che mostra “2026-03-01” ha ricevuto le patch di base ma non quelle relative ai componenti hardware proprietari.

Indicazioni pratiche: cosa fare subito

Ecco, di seguito, alcuni utili consigli per mettere in sicurezza i propri dispositivi mobile, utili sia per gli utenti consumer sia per quelli aziendali.

Per gli utenti consumer

In questo caso, la priorità assoluta è quella di aggiornare immediatamente. Non si tratta di un aggiornamento rinviabile. La presenza di una vulnerabilità zero-day attivamente sfruttata rappresenta, infatti, un rischio concreto, soprattutto per chi utilizza dispositivi con chipset Qualcomm (la maggior parte degli Android di fascia media e alta sul mercato globale).

Le azioni specifiche per mettere in sicurezza il proprio dispositivo sono queste:

  1. Verificare la disponibilità di aggiornamenti OTA accedendo al menu Impostazioni/Sistema/Aggiornamento sistema.
  2. Se il produttore non ha ancora rilasciato la patch, attivare le restrizioni sulle app: limitare i permessi di accesso alle app non essenziali, in particolare quelle con accesso alla fotocamera, microfono, posizione e storage.
  3. Attivare Google Play Protect dal menu Impostazioni/Sicurezza/Google Play Protect e assicurarsi che la scansione sia attiva.
  4. Evitare di aprire file multimediali (video, immagini, audio) da fonti non fidate, in considerazione della CVE-2026-0006 che colpisce i Media Codecs.

Per i responsabili IT e i security officer aziendali

Ecco le indicazioni pratiche per mettere subito in sicurezza i dispositivi Android aziendali:

  1. Mobile Device Management (MDM): se l’organizzazione gestisce dispositivi Android tramite MDM (Microsoft Intune, VMware Workspace ONE, JAMF, ecc.), impostare immediatamente policy di compliance che richiedano il livello di patch 2026-03-01 come requisito minimo, con 2026-03-05 come target entro 30 giorni.
  2. Inventario dei dispositivi con chipset Qualcomm: la CVE-2026-21385 è limitata ai chipset Qualcomm. È fondamentale avere visibilità su quali dispositivi nella propria flotta montano chip Qualcomm (identificabile dal modello e dalle specifiche tecniche) e quale sia la priorità di aggiornamento per quei dispositivi.
  3. Zero Trust per gli accessi da mobile: in attesa delle patch OEM, applicare il principio di zero trust per i dispositivi non ancora aggiornati. Ciò significa: bloccare l’accesso a risorse aziendali critiche dai dispositivi che non soddisfano il requisito di patch level, oppure applicare accessi con sessioni più brevi e autenticazione MFA rafforzata.
  4. Monitoraggio dei log: la natura “targeted” dello sfruttamento della CVE-2026-21385 suggerisce attacchi mirati a profili specifici (executives, figure con accesso a dati sensibili, giornalisti, professionisti del settore legale e finanziario). Monitorare eventuali anomalie di accesso dai dispositivi mobili di queste categorie di utenti.

Gestione del rischio: il problema strutturale dell’ecosistema Android

Ogni analisi seria dell’Android Security Bulletin mensile non può prescindere da una riflessione sul problema più grande: la frammentazione dell’aggiornamento.

La CVE-2026-21385 è stata segnalata a Google il 18 dicembre 2025. Oggi, 3 marzo 2026, i fix sono pubblici. Ma quanti dispositivi riceveranno l’aggiornamento nei prossimi giorni? E quanti non lo riceveranno mai, perché il produttore ha cessato il supporto o perché la supply chain degli aggiornamenti OEM richiede settimane o mesi?

I dati storici sul patch deployment di Android mostrano che, anche per vulnerabilità critiche, la percentuale di dispositivi aggiornati entro 30 giorni dal rilascio del bollettino raramente supera il 40-50% per i device attivi.

I device con più di 3 anni di vita sono spesso definitivamente esclusi dal ciclo di patch pur rimanendo in uso, soprattutto in contesti aziendali dove il parco dispositivi viene rinnovato lentamente.

Questo crea una finestra di esposizione strutturale che nessun bollettino mensile può chiudere da solo. Le contromisure compensative, come l’adozione di sistemi Mobile Device Management (MDM), zero trust, segmentazione della rete e autenticazione multi-fattore (MFA), non sono optional: sono l’unica difesa concreta per i dispositivi che non riceveranno mai il patch level 2026-03-05.

Dal punto di vista della data protection (GDPR, NIS2, settori regolamentati), la gestione di dispositivi mobili non aggiornati che accedono a dati personali o a sistemi critici è una responsabilità diretta del titolare del trattamento e dell’organizzazione.

Un audit sul parco dispositivi mobili che comprenda anche la documentazione sugli stati di patching non è solo una buona pratica: in molti contesti è un requisito normativo.

Conclusioni

L’Android Security Bulletin di marzo 2026 è un appuntamento che non si può ignorare. Una zero-day attivamente sfruttata su componenti Qualcomm (i più diffusi nei flagship Android), una RCE critica senza interazione utente nei Media Codecs e sette falle critiche nel kernel legati a pKVM compongono un quadro di rischio elevato.

La risposta corretta non è l’allarmismo, ma la gestione strutturata della priorità: aggiornare immediatamente dove è possibile, applicare compensazioni tecniche dove non lo è e mantenere visibilità continua sullo stato del parco dispositivi mobili.

In un’epoca in cui lo smartphone è la prima superficie d’attacco per chiunque, dai privati ai dirigenti aziendali, trattare l’aggiornamento mobile come un’attività discrezionale non è più sostenibile.

Ulteriori dettagli sugli aggiornamenti dell’Android Security Bulletin di marzo 2026 sono disponibili sulla pagina dedicata.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Paolo Tarsitano
Editor Cybersecurity360.it

Ingegnere informatico, formatore, esperto di cyber security e consulente privacy. Da un po’ di tempo ormai condivide le sue conoscenze scrivendo e divulgando articoli di informatica e tecnologia per aiutare lettori e curiosi a costruirsi una coscienza critica sul mondo hi-tech che ci circonda. Cittadino digitale a tempo pieno, appena può si diverte con le altre due sue grandi passioni: il modellismo e i fumetti.

Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
PA digitale
AI per il lavoro
Mobile security
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

SPAZIO CISO

Vedi tutti gli approfondimenti >

Articoli correlati

  • Data breach nei firewall Cisco usati da enti governativi Usa: ecco come mitigare il rischio

  • sicurezza aziendale

    Cosa ci insegna la breccia nei firewall Fortinet

    06 Mar 2025

    di Giuditta Mosca

    Condividi
  • Videocamere negli asili nido linee guida; Videosorveglianza urbana: pochi giorni e i filmati spariscono, ma la privacy non è un alibi

  • il caso

    Videosorveglianza urbana: pochi giorni e i filmati spariscono, ma la privacy non è un alibi

    06 Nov 2025

    di Stefano Manzelli

    Condividi
  • Da anello debole a cyber defender: il fattore umano contribuisce ad individuare attività sospette

  • STRATEGIE AZIENDALI

    Fattore umano, da anello debole a cyber defender: l'importanza della collaborazione

    05 Giu 2025

    di Gerardo Forliano

    Condividi
  • Data act: la regolamentazione non riguarda solo i dispositivi IoT

  • normative

    Data Act: la regolamentazione non riguarda solo i dispositivi IoT

    09 Mag 2025

    di Giancarlo Butti

    Condividi
0
Lascia un commento, la tua opinione conta.x