Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Google ha corretto una bug di sicurezza su Android che permetteva attacchi DoS locali senza alcuna interazione dell’utente. Il problema colpisce Android 14, 15 e 16. Contestualmente è stata risolta anche un'ltro bug di sicurezza legato a StrongBox. Le patch di aprile, distribuite in due livelli, richiedono l’installazione della versione 2026-04-05 per una protezione completa.
Google ha iniziato a distribuire le patch di aprile per Android. Il problema principale, questa volta, riguarda una vulnerabilità critica nel componente Framework, che consentiva di causare un attacco DoS locale, senza alcuna azione o privilegio da parte dell’utente.
Il bug di sicurezza in questione è identificato come CVE-2026-0049. Il problema interessa diverse versioni attuali del sistema operativo quali Android 14, Android 15, Android 16 e Android 16 QPR2.
Inoltre, il pacchetto degli aggiornamenti include nche un’altra pericolosa vulnerabilità, la CVE-2025-48651, che è stata valutata di elevata gravità.
Tale bug è correlato al componente StrongBox. Si tratta di un keystore protetto a livello hardware in Android. Non è un problema che riguarda un singolo fornitore le patch interessano componenti di Google, NXP, STMicroelectronics e Thales.
Come di consueto, Google ha suddiviso l’aggiornamento in due livelli di aggiornamenti. Il livello 2026-04-01 risolve il problema critico nel Framework, mentre il livello 2026-04-05 risolve la vulnerabilità di StrongBox e include tutte le correzioni precedenti.
Per una protezione completa, occorre installare la patch 2026-04-05 o successiva. C’è un altro dettaglio, Google ricorda che nel 2026 cambierà il suo approccio alla pubblicazione del codice sorgente di AOSP.
Ricordiamo che l’Android Open Source Project (AOSP) è il progetto open source che gestisce il sistema operativo Android. Il progetto gestito da Google, include il codice sorgente “puro” del sistema operativo privo delle personalizzazioni dei produttori e delle applicazioni come Play Store o Gmail. Questo codice è accessibile pubblicamente e rappresenta il punto di partenza da cui aziende e sviluppatori creano i propri ecosistemi basandosi su Android.
Dal punto di vista della sicurezza, AOSP è un elemento fondamentale in quanto consente a ricercatori e vendor di analizzare il codice per comprendere se sia privo di vulnerabilità e per sviluppare le relative patch correttive.
Le modifiche nel rilascio, come quanto annunciato da Google, può avere un impatto diretto sulla rapidità con cui i bug vengono identificati e risolti.
Per allinearsi al nuovo modello trunk-stable e mantenere la stabilità dell’ecosistema, il codice verrà pubblicato nel secondo e quarto trimestre, e si consiglia agli sviluppatori di concentrarsi sul ramo android-latest-release.
