Sommario
Due gravi problematiche di sicurezza colpiscono utenti Android e Chrome in contemporanea. Da un lato, Google ha corretto in emergenza una vulnerabilità zero-day critica su Chrome (CVE-2025-5419), già sfruttata attivamente da attori malevoli. Dall’altro, CERT Polska ha svelato tre vulnerabilità preoccupanti in app preinstallate su smartphone Ulefone e Krüger&Matz, che permettono a qualsiasi app installata di azzerare il dispositivo o esfiltrare dati sensibili, come PIN biometrici. La combinazione di questi scenari rappresenta una minaccia sistemica all’ecosistema Android, mettendo in discussione l’affidabilità sia dei browser che delle configurazioni di fabbrica nei dispositivi economici.
CVE-2025-5419: vulnerabilità zero-day su Chrome V8 già sfruttata
La vulnerabilità CVE-2025-5419 è stata scoperta dai ricercatori di Google TAG il 27 maggio 2025 e corretta il giorno successivo. Essa riguarda un bug di tipo “out-of-bounds read/write” nel motore V8, responsabile dell’esecuzione di JavaScript e WebAssembly in Chrome. Gli attaccanti possono sfruttare una pagina HTML opportunamente costruita per causare corruzione dell’heap ed eseguire codice arbitrario da remoto.
Google ha confermato che l’exploit è già in uso attivo e ha rilasciato un aggiornamento fuori banda per tutte le piattaforme: Windows, macOS e Linux. La versione corretta è la 137.0.7151.68/.69, anche per browser basati su Chromium come Microsoft Edge, Brave e Vivaldi. La gravità è accentuata dalla natura universale del motore V8 e dalla sua esposizione quotidiana su milioni di dispositivi.
Implicazioni tecniche e strategiche dell’exploit su V8
Il motore V8 rappresenta un target di alto valore per attori APT e campagne exploit kit, poiché ogni compromissione del motore consente il pieno controllo dell’esecuzione web. Gli attacchi documentati non vengono ancora dettagliati da Google per prevenire un’ondata di exploit imitativi. Tuttavia, si ritiene probabile un utilizzo in contesti di sorveglianza mirata o su larga scala tramite campagne phishing.
L’exploit CVE-2025-5419 segue una precedente vulnerabilità zero-day dello stesso anno (CVE-2025-2783) sfruttata in attacchi contro organizzazioni russe. Questo pattern indica una persistenza elevata delle minacce contro i browser come vettore di ingresso.
Tre vulnerabilità critiche su Ulefone e Krüger&Matz: factory reset e furto PIN
Parallelamente, CERT Polska ha divulgato tre vulnerabilità (CVE-2024-13915, CVE-2024-13916, CVE-2024-13917) legate ad applicazioni preinstallate su dispositivi Ulefone e Krüger&Matz, tutte con accesso sistemico non autenticato da parte di app terze.
- CVE-2024-13915: l’applicazione com.pri.factorytest, preinstallata durante la produzione, espone un servizio di factory reset (
FactoryResetService) che può essere invocato da qualsiasi app, consentendo un ripristino completo senza autorizzazione. - CVE-2024-13916: l’app com.pri.applock consente di cifrare altre app con PIN o dati biometrici. Tuttavia, esporta impropriamente un content provider che permette a qualsiasi app malintenzionata di esfiltrare il PIN, senza autorizzazioni Android.
- CVE-2024-13917: sempre all’interno di com.pri.applock, un’attività (
LockUI) consente l’iniezione di intent arbitrari con privilegi di sistema, compromettendo la sandbox di Android.
Combinazione e catena d’attacco: escalation semplificata
Le tre vulnerabilità possono essere concatenate in modo efficace. Un’app installata può:
- Usare CVE-2024-13916 per rubare il PIN,
- Usare CVE-2024-13917 per eseguire intent con privilegi elevati verso app protette,
- Infine, ripristinare il dispositivo con CVE-2024-13915 per cancellare tracce.
Si tratta di un pattern da rootkit software, reso possibile da falle di progettazione nelle app di sistema e nella mancanza di enforcement di sicurezza durante la produzione dei dispositivi.
Assenza di patch note: incertezza elevata sulla mitigazione
Sia Ulefone che Krüger&Matz non hanno ancora confermato il rilascio di aggiornamenti, e CERT Polska non è in grado di verificare se versioni successive alle patch interne di dicembre 2024 (Ulefone) e marzo 2025 (Krüger&Matz) siano immuni. Questa opacità impone una riconsiderazione completa dell’affidabilità dei dispositivi low-cost, spesso distribuiti nei mercati emergenti e usati da categorie vulnerabili.
Impatto su sicurezza nazionale e aziendale
Le implicazioni di questi attacchi sono enormi:
- Chrome zero-day mette a rischio ogni sistema desktop e mobile che accede a contenuti web.
- Le vulnerabilità Android interessano dispositivi a basso costo, spesso impiegati in ambiti aziendali, industriali o di sorveglianza urbana.
- La possibilità di wipe remoto e furto PIN rende gli attacchi particolarmente utili per gruppi di sorveglianza o criminali informatici interessati al furto di identità.
Le aziende devono rivedere le policy BYOD, vietando dispositivi non aggiornati o provenienti da vendor con scarso supporto. Gli utenti privati devono privilegiare marchi con tracciabilità di aggiornamento e strumenti di sicurezza più avanzati.
Le vulnerabilità CVE-2025-5419 su Chrome e CVE-2024-13915/16/17 su Android sottolineano l’urgenza di un approccio sistemico alla sicurezza software. L’uso di sandbox robuste, l’imposizione di ACL sulle app di sistema, il monitoraggio dei comportamenti anomali e la risposta rapida alle zero-day devono essere centrali nella progettazione di browser e dispositivi Android. In un ecosistema dove anche una banale app preinstallata può azzerare il dispositivo o violare dati biometrici, la sicurezza predefinita è una necessità, non un’opzione.
