Google, 124 patch Android a giugno: la zero-day CVE-2025-48595 è già attiva

Google, 124 patch Android a giugno: la zero-day CVE-2025-48595 è già attiva

Una app malevola, nessun click, accesso totale: così funziona la zero-day che Google non ha fermato in tempo. Il 2 giugno 2026 Google ha pubblicato il bollettino di sicurezza mensile per Android, correndo 124 vulnerabilità. Tra queste, la zero-day CVE-2025-48595 — un integer overflow nel Framework Android — è già sfruttata in attacchi "limited, targeted exploitation" con escalation di privilegi locale che non richiede interazione utente. La CISA ha inserito la falla nel catalogo KEV il 6 giugno 2026 con due date fissate al 5 giugno 2026.

Il meccanismo: overflow nel Framework, nessun click della vittima

Secondo Help Net Security, CVE-2025-48595 è un integer overflow nel Framework Android — l'insieme di API e servizi di sistema con cui ogni app interagisce direttamente. La natura dell'overflow permette a un attaccante di ottenere escalation di privilegi locale con accesso completo al dispositivo e ai dati contenuti.

Il vettore è locale e non richiede interazione utente. Come scrive Help Net Security: "Successful exploitation does not hinge on user interaction, and the attack vector is local, which most likely means that the vulnerability is being exploited via a malicious app that targeted users have been tricked into installing".

Il record NVD conferma: "In multiple locations, there is a possible way to achieve code execution due to an integer overflow. This could lead to local escalation of privilege with no additional execution privileges needed. User interaction is not needed for exploitation." Il vettore CVSS v3.1 è AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H — locale, bassa complessità, nessun privilegio preliminare richiesto, impatto massimo su confidenzialità, integrità e disponibilità.

La frammentazione del patch: due livelli, due velocità

Google distribuisce l'aggiornamento attraverso due livelli di patch date distinti. Il livello 2026-06-01 copre i fix core del sistema operativo Android, incluso il Framework. Il livello 2026-06-05 o successivo include le correzioni per kernel e componenti dei chipset di terze parti: Qualcomm, MediaTek, Unisoc, Imagination Technologies.

Questa stratificazione non è aneddotica. I dispositivi che ricevono solo il primo livello restano esposti alle falle del kernel e dei driver hardware anche se il Framework appare aggiornato. La zero-day CVE-2025-48595 è nel Framework, quindi teoricamente coperta dal livello 2026-06-01, ma la struttura a doppio livello complica la verifica della reale protezione per l'utente finale.

Google notifica i partner Android almeno un mese prima della pubblicazione del bollettino, e rilascia le patch source su AOSP entro 48 ore dalla pubblicazione. Queste sono pratiche standard Google, non garanzie per l'utente finale.

Il contesto: spyware commerciale e vulnerabilità framework

"There are indications that CVE-2025-48595 may be under limited, targeted exploitation" — Google advisory, riportato da SecurityWeek

SecurityWeek colloca la zero-day nel più ampio pattern di spyware commerciale che sfrutta vulnerabilità Android. La fonte specifica "commercial spyware vendors" come contesto generico del threat landscape, senza stabilire un collegamento verificato con questo CVE specifico. Non emergono, allo stato attuale, attribuzioni a operatori noti né dettagli di campagne attive.

Il profilo della falla — privilege escalation locale senza interazione, sfruttabile via app malevola — è coerente con il modus operandi di soluzioni di sorveglianza commerciale. Il dossier non documenta rilevazioni di Google Threat Analysis Group o Project Zero relative a questa specifica vulnerabilità, né vittime identificate o settori target.

Cosa fare adesso

• Applicare l'aggiornamento ufficiale. Google ha rilasciato il bollettino il 2 giugno 2026; l'azione documentata è l'applicazione dell'aggiornamento ufficiale. Il dossier non documenta azioni operative preventive oltre questa.
• Verificare il patch level. Il livello 2026-06-01 copre il Framework e la zero-day; il livello 2026-06-05 o successivo include kernel e chipset. La fonte non specifica metodi di verifica alternativi per utenti con dispositivi bloccati su livelli precedenti.

Perché il modello Google-OEM fallisce l'utente

Il sistema a doppio livello non è un bug, è una feature architetturale che delega la responsabilità del fix finale a OEM e carrier. Google pubblica, ma non controlla la distribuzione. Il risultato è una popolazione di dispositivi con patch level apparentemente aggiornato ma protezione effettivamente parziale.

La zero-day CVE-2025-48595 è nel Framework, quindi tecnicamente risolvibile al livello 2026-06-01. Ma le 18 vulnerabilità critical e le falle nei componenti Qualcomm, MediaTek, Unisoc e Imagination Technologies richiedono il secondo livello. Chi controlla la catena di approvvigionamento hardware? Non l'utente. E non Google.

La domanda politica è semplice: se la sicurezza di un dispositivo dipende da un OEM che può interrompere il supporto o da un carrier che può ritardare la certificazione, chi risponde quando la zero-day è già attiva? CISA ha fissato due date al 5 giugno 2026. Per chi non è sotto giurisdizione federale, la scadenza è semantica: il rischio è reale, la protezione è negoziata.

Limiti delle fonti. Questo dossier si basa su due fonti primarie strutturate (SecurityWeek, Help Net Security), il record NVD/CISA KEV e il bollettino Google. Non sono disponibili advisory vendor strutturati da ZDI o GHSL. Il meccanismo esatto di delivery dell'app malevola, l'identità degli attaccanti, le vittime specifiche e la data di inizio sfruttamento pre-patch non sono documentati nelle fonti accessibili. Le informazioni sono aggiornate al momento della pubblicazione.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

• https://www.securityweek.com/android-update-patches-exploited-zero-day-123-other-vulnerabilities/
• https://www.helpnetsecurity.com/2026/06/02/android-vulnerability-exploited-cve-2025-48595/
• https://nvd.nist.gov/vuln/detail/CVE-2025-48595
• https://unit42.paloaltonetworks.com/fifa-world-cup-attack-surface/