Google pubblica il bollettino di sicurezza Android di giugno 2026 e introduce correzioni per vulnerabilità critiche che interessano Framework, System, Kernel e componenti vendor forniti da partner hardware. Il documento, rilasciato il 1 giugno 2026, organizza le patch in due livelli distinti, 2026-06-01 e 2026-06-05, secondo il modello ormai consolidato dell’ecosistema Android. I dispositivi che raggiungono il livello patch 5 giugno 2026 o successivo risultano protetti contro tutte le vulnerabilità elencate nel bollettino, comprese quelle corrette nel livello precedente. L’aggiornamento copre Android 14, Android 15, Android 16 e Android 16-qpr2, confermando l’estensione della superficie interessata e l’importanza dell’intervento per produttori, operatori e utenti finali. La criticità più rilevante riguarda il componente Framework, dove una falla consente escalation di privilegi da remoto senza necessità di ulteriori privilegi di esecuzione e senza interazione dell’utente. Questo scenario rende la vulnerabilità particolarmente sensibile perché elimina due barriere difensive normalmente decisive: l’azione consapevole della vittima e la disponibilità preventiva di permessi locali. Il bollettino affronta inoltre problemi di denial of service, information disclosure ed elevation of privilege locale, con impatti potenziali sulla stabilità del sistema, sulla riservatezza dei dati e sull’integrità dei processi Android. Google invita i partner a raggruppare le correzioni in un unico aggiornamento OTA, mentre le patch del codice sorgente vengono rese disponibili nel repository AOSP entro 48 ore dalla pubblicazione del bollettino. Le mitigazioni native della piattaforma Android e Google Play Protect riducono il rischio di sfruttamento, ma non sostituiscono l’installazione dell’aggiornamento. Per questo gli utenti devono verificare nelle impostazioni del dispositivo il livello di patch installato e assicurarsi che il sistema riporti almeno 2026-06-05 quando disponibile dal proprio produttore.
Cosa leggere
Il patch level 2026-06-01 chiude la falla più grave nel Framework
Il livello patch 2026-06-01 interviene sulle vulnerabilità più delicate presenti nel componente Framework, il cuore logico che gestisce numerose funzioni di sistema e interazioni tra applicazioni, servizi e permessi Android. La falla più grave è identificata come CVE-2025-65018 e viene classificata come critica perché può consentire escalation di privilegi da remoto senza ulteriori privilegi di esecuzione e senza interazione dell’utente. In termini operativi, questo significa che un attaccante potrebbe sfruttare il bug in uno scenario remoto con una catena d’attacco particolarmente pericolosa, soprattutto su dispositivi non aggiornati o esposti a vettori applicativi e di comunicazione non adeguatamente controllati. Accanto a questa vulnerabilità, Google corregge nel Framework anche la CVE-2025-64720, un problema di denial of service con gravità critica capace di compromettere la disponibilità del sistema o di specifiche funzioni fondamentali. Il pacchetto include inoltre numerose vulnerabilità ad alta gravità di tipo elevation of privilege, tra cui CVE-2025-22424, CVE-2025-22426, CVE-2025-48570, CVE-2025-48595, CVE-2025-48615, CVE-2025-48649, CVE-2025-48652, CVE-2026-0009, CVE-2026-0046, CVE-2026-0048, CVE-2026-0055, CVE-2026-0061, CVE-2026-0076, CVE-2026-0077, CVE-2026-0078, CVE-2026-0087, CVE-2026-0089, CVE-2026-0091, CVE-2026-0100, CVE-2026-28577, CVE-2026-28580, CVE-2026-0016, CVE-2026-0036, CVE-2026-0056, CVE-2026-28586, CVE-2025-32348, CVE-2026-0018, CVE-2026-0069 e CVE-2026-0070. Alcune vulnerabilità interessano soltanto Android 14, mentre altre coinvolgono anche Android 15, Android 16 e Android 16-qpr2. Il Framework riceve inoltre correzioni per problemi di information disclosure con gravità alta, a conferma di un intervento ampio che non si limita alla sola esecuzione o elevazione dei privilegi, ma riguarda anche la protezione della riservatezza dei dati trattati dal sistema operativo.
Il componente System corregge escalation locali e denial of service critici
Il livello patch 2026-06-01 interviene anche sul componente System, dove Google corregge vulnerabilità critiche di elevation of privilege e denial of service. Le CVE più rilevanti in questo blocco sono CVE-2026-0043, CVE-2026-0097, CVE-2026-21352 e CVE-2026-21353, tutte associate a escalation dei privilegi locali senza necessità di ulteriori privilegi di esecuzione e senza interazione dell’utente. Anche se lo scenario è locale e non remoto come nel caso più grave del Framework, l’impatto resta elevato perché un exploit riuscito potrebbe consentire a codice già presente sul dispositivo di ottenere capacità superiori rispetto a quelle originariamente concesse. In un ecosistema mobile, dove applicazioni, servizi di sistema e componenti di terze parti convivono all’interno di un modello di sandboxing molto articolato, le vulnerabilità di escalation locale rappresentano uno dei vettori più sfruttabili nelle catene d’attacco multi-stage. Il componente System riceve inoltre correzioni per denial of service critici identificati come CVE-2025-64505, CVE-2026-0039, CVE-2026-0040, CVE-2026-0041, CVE-2026-0042 e CVE-2026-0044. Questi problemi potrebbero compromettere la disponibilità del dispositivo o di servizi essenziali, causando blocchi, instabilità o condizioni di errore sfruttabili per interrompere il normale funzionamento del sistema. Le versioni Android coinvolte coprono Android 14, Android 15, Android 16 e Android 16-qpr2, rendendo necessaria una risposta coordinata da parte degli OEM. Il bollettino sottolinea che il problema più grave nel System può portare all’elevazione locale dei privilegi senza ulteriori requisiti di esecuzione, una formulazione che conferma la priorità assegnata da Google alla chiusura di vettori capaci di aggirare il modello di permessi e isolamento applicativo. In questo contesto, la rapidità di distribuzione degli aggiornamenti da parte dei produttori diventa decisiva quanto la pubblicazione della patch stessa.
Il patch level 2026-06-05 completa la protezione con Kernel e vendor
Il livello patch 2026-06-05 completa il bollettino di giugno 2026 estendendo le correzioni al Kernel e ai componenti forniti dai partner hardware. Questo secondo livello è essenziale perché molte vulnerabilità Android non risiedono soltanto nel codice AOSP gestito direttamente da Google, ma anche nei driver, nei modem, nelle GPU, nei componenti closed source e nelle integrazioni specifiche dei chipset. Nel Kernel, Google corregge una vulnerabilità di elevation of privilege ad alta gravità nella sottocomponente Rete, identificata come CVE-2025-40214. La falla potrebbe consentire escalation locale dei privilegi senza ulteriori requisiti di esecuzione e senza interazione dell’utente, inserendosi nella stessa logica di rischio osservata in altre sezioni del bollettino: un componente apparentemente basso nello stack può diventare un punto critico se permette di oltrepassare i confini di sicurezza del sistema. Il livello 2026-06-05 include inoltre correzioni per componenti Imagination Technologies, in particolare nel blocco PowerVR-GPU, con tre vulnerabilità ad alta gravità identificate come CVE-2026-21736, CVE-2026-22163 e CVE-2026-22167. I dettagli tecnici completi vengono demandati agli avvisi del vendor, ma la loro presenza nel bollettino Android conferma il peso dei componenti grafici nella sicurezza complessiva dei dispositivi mobili. GPU, driver e acceleratori hardware non sono più elementi periferici: gestiscono memoria, rendering, interfacce e carichi multimediali complessi, diventando superfici d’attacco rilevanti per exploit sofisticati. Per questo Google separa i livelli di patch, consentendo agli OEM di distinguere le correzioni comuni della piattaforma da quelle legate all’hardware specifico, ma raccomanda comunque di distribuire aggiornamenti completi che portino il dispositivo direttamente al livello 2026-06-05.
MediaTek e Unisoc ricevono patch estese per modem e componenti sensibili
Il bollettino di giugno 2026 include un numero rilevante di correzioni per componenti MediaTek e Unisoc, con particolare attenzione ai modem, a geniezone e al preloader. MediaTek riceve undici patch ad alta gravità che interessano aree critiche della piattaforma hardware, identificate come CVE-2026-20432, CVE-2026-20433, CVE-2026-20447, CVE-2026-20448, CVE-2026-20453, CVE-2026-20454, CVE-2026-20455, CVE-2026-20435, CVE-2026-20431, CVE-2026-20449 e CVE-2026-20450. La presenza di vulnerabilità nel modem è particolarmente significativa perché questi componenti operano a un livello profondo del dispositivo, gestiscono comunicazioni cellulari e possono rappresentare una superficie d’attacco separata rispetto al sistema operativo visibile all’utente. Anche geniezone, componente legato ad ambienti di esecuzione isolati e funzioni di sicurezza, assume rilievo perché eventuali falle in aree di separazione privilegiata possono avere conseguenze rilevanti sulla protezione complessiva del dispositivo. Unisoc riceve invece sedici patch ad alta gravità tutte relative al modem, identificate come CVE-2025-71251, CVE-2025-71252, CVE-2025-71253, CVE-2025-71254, CVE-2025-71255, CVE-2025-71256, CVE-2026-21538, CVE-2026-21539, CVE-2026-21540, CVE-2026-21541, CVE-2026-21542, CVE-2026-21543, CVE-2026-21544, CVE-2026-21545, CVE-2026-21546 e CVE-2026-21547. Anche in questo caso i dettagli tecnici vengono forniti dal vendor, ma l’estensione numerica delle correzioni indica un intervento importante su piattaforme ampiamente distribuite nel mercato Android. La sicurezza dei modem resta un punto strategico perché eventuali vulnerabilità in questi componenti possono interagire con reti mobili, baseband e funzioni radio, ampliando il rischio oltre il perimetro delle applicazioni installate dall’utente.
Qualcomm corregge display e componenti closed source
Il bollettino include anche correzioni fornite da Qualcomm, uno dei partner hardware più rilevanti dell’ecosistema Android. Le patch riguardano due vulnerabilità ad alta gravità nel componente display, identificate come CVE-2026-24085 e CVE-2026-24089, oltre a problemi critici e alti nei componenti closed source del vendor, tra cui CVE-2025-47392 e altri riferimenti specifici indicati nell’avviso corrispondente. La presenza di componenti closed source rappresenta uno degli aspetti più complessi della sicurezza Android, perché molte parti fondamentali dei dispositivi non vengono gestite direttamente nel codice pubblico AOSP ma attraverso pacchetti, driver e firmware distribuiti dai produttori dei chipset. Questo rende indispensabile una cooperazione costante tra Google, OEM e vendor hardware. Le vulnerabilità nei componenti display possono sembrare meno intuitive rispetto a falle nel Framework o nel System, ma in realtà i driver grafici e le pipeline di rendering operano a livelli profondi e possono interagire con memoria, buffer e processi privilegiati. Una correzione incompleta o tardiva su questi moduli potrebbe lasciare esposti dispositivi apparentemente aggiornati sul piano del sistema operativo ma non allineati sul piano vendor. Per questo il livello patch 2026-06-05 ha un valore operativo decisivo: certifica non solo l’applicazione delle correzioni Google più immediate, ma anche l’integrazione delle patch hardware specifiche. Gli utenti finali vedono soltanto una data nelle impostazioni di sicurezza, ma quella data sintetizza una catena complessa di sviluppo, validazione e distribuzione che coinvolge l’intero ecosistema Android. La raccomandazione resta quindi quella di installare gli aggiornamenti OTA appena disponibili, soprattutto su dispositivi con chipset Qualcomm, MediaTek, Unisoc o GPU PowerVR interessati dalle patch di giugno.
Google Play e mitigazioni riducono il rischio sui dispositivi non aggiornati
Oltre alle patch del sistema operativo e dei componenti vendor, il bollettino di giugno 2026 richiama il ruolo degli aggiornamenti di sistema Google Play, che correggono vulnerabilità in MediaProvider e UI Documenti. Questi aggiornamenti fanno parte della strategia modulare di sicurezza Android, che consente a Google di distribuire alcune correzioni attraverso canali separati rispetto agli OTA completi dei produttori. Il modello riduce i tempi di esposizione per componenti aggiornabili tramite infrastruttura Google, ma non elimina la necessità degli update firmware e delle patch vendor. Google sottolinea inoltre l’importanza di mantenere attivo Google Play Protect, che contribuisce a rilevare applicazioni dannose, comportamenti sospetti e possibili abusi su dispositivi non ancora aggiornati. Le mitigazioni della piattaforma Android, come sandboxing, controllo dei permessi, hardening della memoria e restrizioni sui servizi in background, riducono la probabilità di sfruttamento, ma non possono neutralizzare completamente vulnerabilità critiche come quelle corrette nel Framework e nel System. La difesa reale nasce dalla combinazione tra patch tempestive, protezioni runtime e controllo del comportamento applicativo. Per gli utenti, il passaggio più importante resta la verifica del livello patch nelle impostazioni del dispositivo. Un telefono che mostra 2026-06-05 o una data successiva incorpora tutte le correzioni del bollettino di giugno e dei bollettini precedenti. Un dispositivo fermo al livello 2026-06-01 riceve solo una parte delle patch, mentre uno non aggiornato resta esposto sia alle vulnerabilità della piattaforma sia a quelle dei componenti hardware. Il bollettino conferma così che la sicurezza Android non dipende da un singolo attore, ma da una filiera coordinata in cui Google pubblica le correzioni, i vendor integrano le patch hardware, gli OEM distribuiscono gli OTA e gli utenti completano l’installazione.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
