È stato rilasciato l’Android Security Bulletin per il mese di maggio 2025: il pacchetto cumulativo di aggiornamenti interviene per sanare 50 vulnerabilità nel sistema operativo mobile di Google, tra cui anche una zero-day che risulta essere stata già sfruttata in maniera limitata in attacchi mirati.
L’exploit delle vulnerabilità potrebbe consentire di condurre attacchi di tipo:
- Denial of Service
- Elevation of Privilege
- Information Disclosure
- Remote Code Execution
L’Android Security Bulletin di maggio 2025 è stato suddiviso, come di consueto in due pacchetti cumulativi di aggiornamenti: il primo, catalogato come 2025-05-01 security patch level, riguarda le principali componenti del sistema operativo Android 13, 14 e 15 con patch di sicurezza precedenti a maggio 2025.
Il secondo, catalogato come 2025-05-05 security patch level, affronta e risolve i problemi di sicurezza identificati nei componenti hardware e dei fornitori closed-source.
Ulteriori dettagli sugli aggiornamenti dell’Android Security Bulletin di maggio 2025 sono disponibili sulla pagina ufficiale.
Indice degli argomenti
I dettagli della vulnerabilità zero-day
La vulnerabilità zero-day corretta questo mese da Google è stata tracciata come CVE-2025-27363, con punteggio CVSS di 8.1 e livello di gravità elevato. Identificata nel componente System, è di tipo RCE (Remote Code Execution) e interessa le versioni 13 e 14 di Android.
Qualora venisse sfruttata, potrebbe consentire di portare all’esecuzione di codice locale senza la necessità di ulteriori privilegi di esecuzione. Inoltre, come si legge nel relativo bollettino di sicurezza, per lo sfruttamento non è necessaria alcuna interazione da parte dell’utente.
La vulnerabilità zero-day CVE-2025-27363 corretta in occasione del rilascio dell’Android Security Bulletin di maggio 2025 interessa la libreria di rendering dei font open-source FreeType ed è stata rivelata per la prima volta dagli analisti di sicurezza di Facebook nel mese di marzo 2025, in seguito a un suo sfruttamento massiccio.
Si tratta di un difetto di tipo out-of-bounds (scrittura fuori dai limiti di memoria) che potrebbe portare all’esecuzione di codice durante l’analisi di file di font TrueType GX. Il problema è stato risolto nelle versioni di FreeType successive alla 2.13.0.
Al momento, Google non ha fornito ulteriori dettagli tecnici su come la vulnerabilità sia stata sfruttata negli attacchi in rete già documentati: questo per consentire al maggior numero possibile di utenti di applicare gli aggiornamenti di sicurezza prima che altri gruppi criminali riescano a sfruttare la falla.
Ecco come aggiornare i dispositivi Android
Nel bollettino di sicurezza pubblicato in occasione del rilascio dell’Android Security Bulletin del mese di maggio 2025, Google sottolinea come lo sfruttamento di molti problemi di Android sia stato reso più difficile grazie ai continui miglioramenti apportati alle nuove versioni della piattaforma mobile.
Proprio per questo motivo, è essenziale, ove possibile, aggiornare i propri dispositivi alla versione più recente di Android.
È bene ricordare che Google ha già rilasciato tutte le patch di sicurezza Android ai propri partner con un mese di anticipo rispetto alla pubblicazione del bollettino di sicurezza, pubblicandole nel repository Android Open Source Project (AOSP).
Alcuni o tutti questi aggiornamenti, a seconda del dispositivo, possono essere applicati automaticamente tramite i servizi Google Play; altri, invece, potrebbero essere inviati all’utente sotto forma di un aggiornamento da parte dell’operatore o del produttore del dispositivo, e alcuni potrebbero non essere necessari.
I dispositivi Android più economici e meno aggiornati potrebbero non vedere mai gli aggiornamenti.
In tutti i casi, soprattutto quando i dispositivi vengono utilizzati in ambito aziendale e produttivo, è opportuno installare una buona soluzione di sicurezza (ancora meglio se integrata nell’eventuale client di Mobile Device Management per il controllo remoto e centralizzato dei dispositivi usati per lo smart working) in grado di garantire un elevato livello di protezione dei dati e delle informazioni riservate archiviate in memoria.
Per aggiornare un dispositivo Android, è sufficiente andare su Impostazioni/Sistema/Aggiornamento sistema e selezionare Controlla aggiornamenti. In alternativa, si può accedere al menu Impostazioni/Sicurezza e privacy/Aggiornamenti e selezionare Aggiornamento di sicurezza.
Da segnalare che, se il dispositivo utilizza ancora Android 10 o versioni precedenti, vuol dire che ha raggiunto la fine del ciclo di vita (EoL) da settembre 2022 (per la versione 10) e non riceverà le correzioni per i difetti di cui sopra. Analogamente per i dispositivi con Android 11, che ha raggiunto la fine del ciclo di vita lo scorso 5 febbraio 2024.
Tuttavia, alcuni aggiornamenti importanti potrebbero comunque essere distribuiti tramite gli aggiornamenti di sistema di Google Play: per scaricarli e installarli, accediamo al menu Impostazioni/Sicurezza e privacy/Aggiornamenti e selezioniamo la voce Aggiornamento di sistema di Google Play.
Per quanto tempo si ricevono gli aggiornamenti Android
Le politiche di aggiornamento di Google prevedono che i dispositivi ricevano aggiornamenti per la versione di Android installata per almeno tre anni dalla data di introduzione sul Google Store, mentre gli aggiornamenti di sicurezza saranno garantiti per tre anni dalla data di introduzione nella versione statunitense del Google Store.
Per quanto riguarda, invece, la velocità di rilascio, se i dispositivi sono stati acquistati direttamente sul Google Store allora gli aggiornamenti arriveranno entro un paio di settimane, mentre per i modelli acquistati da rivenditori di terze parti potrebbe volerci più tempo, come indicato sul sito di supporto di Google per Android.
