Google cambia la strategia Android: basta patch mensili, solo fix basate sul rischio

Google ha modificato la sua strategia di aggiornamento della sicurezza Android, interrompendo per la prima volta in un decennio la sua tradizione di divulgare mensilmente le vulnerabilità. Nel bollettino di luglio 2025, l’azienda non ha segnalato una singola vulnerabilità, per la prima volta in 120 pubblicazioni. Ma a settembre, l’elenco includeva 119 correzioni contemporaneamente.

Il motivo non è che luglio fosse “sicuro”, ma che Google sta passando a un nuovo modello di sistema di aggiornamento basato sul rischio (RBUS). Ora, gli aggiornamenti mensili conterranno solo correzioni per le vulnerabilità “ad alto rischio”, ovvero quelle attivamente sfruttate o che fanno parte di catene di attacco note. Le vulnerabilità rimanenti saranno raggruppate in importanti rilasci trimestrali: a marzo, giugno, settembre e dicembre.

L’azienda sottolinea che questo approccio semplificherà il lavoro dei produttori di smartphone. Dovranno integrare meno patch negli aggiornamenti mensili, il che aumenterà la probabilità di una loro pubblicazione tempestiva. Allo stesso tempo, i produttori potranno concentrarsi su aggiornamenti trimestrali più consistenti, che diventeranno il canale principale per la distribuzione della maggior parte delle correzioni.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Google sottolinea che in precedenza molte aziende limitavano gli aggiornamenti di sicurezza a una cadenza bimestrale o trimestrale, soprattutto per i modelli più economici. La nuova programmazione dovrebbe contribuire a uniformare la distribuzione e garantire che i dispositivi siano protetti almeno trimestralmente.

Il ciclo tradizionale di gestione delle vulnerabilità rimane lo stesso. I ricercatori segnalano i problemi scoperti, Google li conferma e assegna loro degli identificatori CVE. Gli ingegneri sviluppano quindi una soluzione e, se la vulnerabilità è critica e interessa componenti di Project Mainline, l’aggiornamento può essere distribuito direttamente tramite Google Play System Update.

L’Android Security Bulletin, disponibile sia in versione pubblica che in versione chiusa, rimane un elemento chiave. Il bollettino chiuso viene inviato ai fornitori 30 giorni prima della pubblicazione per dare loro il tempo di testare le patch. Questo periodo sarà ora più lungo per le release trimestrali, sollevando preoccupazioni tra gli sviluppatori di terze parti.

Pertanto, i rappresentanti di GrapheneOS avvertono: più lungo è l’intervallo tra distribuzione e pubblicazione, maggiore è il rischio di fuga di informazioni su vulnerabilità che possono essere sfruttate da aggressori. Anche se per ora questa rimane una minaccia ipotetica.

Un altro svantaggio del nuovo processo è che il codice sorgente delle patch viene ora pubblicato solo per gli aggiornamenti trimestrali. Questo complica ulteriormente le cose per la community delle ROM personalizzate, che non sarà più in grado di includere tempestivamente le patch mensili.

Nonostante i cambiamenti, Google assicura che gli utenti i cui dispositivi ricevono già aggiornamenti mensili continueranno a riceverli. Per altri, il passaggio a RBUS dovrebbe migliorare la prevedibilità e la frequenza degli aggiornamenti. “Android e Pixel risolvono le vulnerabilità mensilmente, ma diamo sempre priorità a quelle più rischiose”, ha dichiarato un portavoce dell’azienda.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.