Sommario
Google ha rilasciato il bollettino di sicurezza di aprile 2025 per Android, annunciando la correzione di due pericolose vulnerabilità zero-day attivamente sfruttate in attacchi reali e altre 60 falle critiche che esponevano i dispositivi a escalation di privilegi e sottrazione di informazioni sensibili. Il pacchetto rappresenta uno degli aggiornamenti più rilevanti degli ultimi mesi per gli utenti del sistema operativo mobile, con particolare impatto sui dispositivi Pixel e sulle indagini internazionali che vedono coinvolti governi, vendor di spyware e gruppi di attivismo digitale.
CVE-2024-53197: la falla nel driver USB-audio sfruttata da Cellebrite in Serbia
La prima vulnerabilità zero-day, classificata con identificativo CVE-2024-53197, riguarda un problema di escalation di privilegi ad alta gravità nel driver USB-audio ALSA del kernel Linux integrato in Android. La falla è stata attivamente sfruttata da parte delle autorità serbe durante operazioni investigative, attraverso una catena di exploit sviluppata dall’azienda israeliana Cellebrite, specializzata in forensica digitale.
L’analisi tecnica di Amnesty International ha rivelato che l’exploit faceva parte di un pacchetto completo per lo sblocco forzato dei dispositivi Android, usato nel 2024 per aggirare le protezioni di attivisti e giornalisti. Il bug permetteva di ottenere privilegi elevati sfruttando una periferica USB malevola, configurata per interagire con il modulo audio in maniera anomala.
La catena di attacco includeva anche altri due exploit zero-day, CVE-2024-53104 e CVE-2024-50302, già corretti rispettivamente a febbraio e marzo 2025, tutti progettati per operare senza interazione da parte dell’utente, attraverso semplici connessioni a porta USB.
CVE-2024-53150: divulgazione di informazioni dal kernel Android via out-of-bounds read
Il secondo zero-day corretto in questo aggiornamento, CVE-2024-53150, è una vulnerabilità di information disclosure nel kernel Android legata a una debolezza di tipo out-of-bounds read. Questo tipo di difetto consente a un attaccante locale di leggere dati sensibili dalla memoria del kernel, ottenendo informazioni potenzialmente utilizzabili per aggirare altri meccanismi di sicurezza o preparare ulteriori exploit.
La falla non richiede interazione dell’utente e, secondo quanto riportato da Google, può essere sfruttata su dispositivi vulnerabili anche senza privilegi di root, rendendola particolarmente pericolosa in contesti ad alta esposizione.
Aggiornamenti di sicurezza in due livelli: patch 2025-04-01 e 2025-04-05
Google ha distribuito l’aggiornamento con due livelli di patch distinti, come da prassi mensile:
- 2025-04-01, che copre le vulnerabilità generali del framework Android e dei componenti open-source principali;
- 2025-04-05, che include anche correzioni relative a componenti closed-source, driver di vendor terzi e patch specifiche per subcomponenti del kernel.
Tutti i dispositivi Pixel supportati hanno ricevuto immediatamente le patch tramite aggiornamento OTA, mentre i produttori terzi dovranno integrare i fix nelle loro build personalizzate, con tempistiche che possono variare anche di settimane o mesi.
60 vulnerabilità aggiuntive corrette: escalation di privilegi in primo piano
Oltre ai due zero-day, Google ha risolto 60 ulteriori falle, la maggior parte delle quali classificate come high severity. Molti di questi difetti sono legati a problemi di escalation di privilegi nei servizi di sistema Android, che potrebbero essere sfruttati da applicazioni malevole per ottenere accessi non autorizzati a funzionalità riservate, installare componenti persistenti o manipolare dati sensibili.
Il bollettino di aprile evidenzia l’importanza crescente della catena di privilegio nel contesto mobile: la possibilità per un’applicazione di passare inosservata sotto i controlli del Play Store e poi ottenere permessi superiori tramite exploit è una minaccia reale e costante.
Riflessi globali: attacchi zero-day e implicazioni per la libertà digitale
Il report associa indirettamente alcune di queste vulnerabilità ad attività di sorveglianza sponsorizzata da governi, in particolare nel contesto serbo, dove secondo quanto ricostruito Google e Amnesty hanno individuato l’uso ricorrente del pacchetto NoviSpy, uno spyware Android basato su exploit zero-day come CVE-2024-43047, già corretto a novembre 2024.
Questi strumenti sono stati impiegati contro giornalisti, attivisti e manifestanti, sollevando forti preoccupazioni etiche. Google ha ribadito che i fix per queste vulnerabilità erano già stati inviati ai partner OEM il 18 gennaio 2025, prima ancora della pubblicazione pubblica, dimostrando una risposta tempestiva ma silenziosa, coerente con le policy di divulgazione responsabile.
Android rimane bersaglio primario, ma la risposta si fa più rapida
Il bollettino di aprile 2025 conferma Android come uno dei principali bersagli degli attacchi avanzati, complice la sua diffusione e la varietà di hardware supportato. I due zero-day scoperti, legati a driver di basso livello, dimostrano che le catene di exploit USB restano strumenti privilegiati per l’accesso forzato ai dispositivi.
Tuttavia, la rapidità con cui Google ha corretto le falle, la collaborazione con partner come Project Zero e le indagini indipendenti condotte da Amnesty indicano un sistema in costante miglioramento sul piano della reattività e della trasparenza. Il futuro della sicurezza Android passa attraverso una maggiore standardizzazione del rilascio delle patch da parte dei vendor, un tema ancora irrisolto che rallenta la distribuzione delle correzioni a milioni di dispositivi nel mondo.
