Perché quasi 1 miliardo di dispositivi Android non aggiornati sono a rischio attacco

Nel dibattito sulla sicurezza mobile, l’attenzione si concentra spesso sull’hardware: quanto è vecchio lo smartphone, quanta memoria ha, se “funziona ancora bene”. In realtà, dal punto di vista della cybersecurity, il fattore determinante non è l’età del dispositivo, ma il tempo trascorso dall’ultima patch di sicurezza. È qui che quasi un miliardo di dispositivi Android attivi entra in una zona grigia sempre più pericolosa.

I dati mostrano che oltre il 30% dell’ecosistema Android utilizza versioni del sistema operativo pari o precedenti ad Android 13. Non si tratta di versioni difettose in senso assoluto, ma di piattaforme che, in molti casi, non ricevono più aggiornamenti correttivi. Il telefono continua a funzionare, le app si aprono, l’esperienza utente sembra invariata, ma il modello di minaccia cambia radicalmente sotto la superficie.

Android: obsolescenza come accumulo di vulnerabilità

Un errore comune è pensare a un sistema non aggiornato come a qualcosa di “fermo”. In realtà è vero l’opposto. Un dispositivo Android non più supportato diventa progressivamente più vulnerabile, perché ogni nuova CVE pubblicata () amplia il divario rispetto ai sistemi patchati. Il rischio non resta costante, cresce nel tempo.

Il 2025 Global Mobile Threat Report di Zimperium evidenzia che circa un quarto dei dispositivi mobili non è più aggiornabile a causa dell’età. Ciò significa che una porzione rilevante del parco Android è condannata a rimanere esposta a vulnerabilità note, molte delle quali riguardano componenti strutturali come kernel, media framework e stack di rete. Non stiamo parlando di bug marginali, ma di falle che consentono escalation di privilegi, bypass dei controlli di sicurezza o esecuzione di codice arbitrario.

Il dato più interessante, però, non è solo la presenza di vulnerabilità, ma la prevedibilità del contesto offensivo. Gli attaccanti sanno esattamente quali versioni non vengono più aggiornate, quali exploit sono stabili e quali device non possono difendersi. Tutte informazioni che contribuiscono a rendere gli attacchi molto meno costosi e più scalabili.

Perché Android è diventato il punto di ingresso preferito

Negli ultimi anni si è consolidato un cambio di rotta: molti attacchi non cominciano dal PC, ma dallo smartphone. Android, per diffusione e frammentazione, rappresenta un bersaglio ideale.

Secondo le analisi di telemetria, oltre il 60% dei dispositivi Android esegue un sistema operativo obsoleto e circa uno su cinque entra in contatto con uno o più malware nel corso dell’anno.

Il punto chiave è che l’attacco moderno è quasi sempre “assistito dall’utente”. Smishing, mishing (alias mobile phishing, indica l’insieme delle tecniche di phishing progettate specificamente per i dispositivi mobili, sfruttando i loro canali nativi e i comportamenti tipici dell’utente su smartphone), PDF malevoli, app apparentemente legittime: raramente serve un exploit complesso se il contesto è già fragile. Su un dispositivo non aggiornato, un link ricevuto via SMS o un allegato aperto per distrazione possono innescare una catena di compromissione che su un sistema aggiornato si fermerebbe al primo passaggio.

Quando si parla di mishing non si fa riferimento a “email viste sul telefono”, ma ad attacchi pensati per il contesto mobile, dove schermo ridotto, notifiche continue e interazioni rapide abbassano la soglia di attenzione. Lo smishing, come spiegato nell’articolo citato in precedenza, è la forma più diffusa di mishing e avviene tramite SMS o messaggi di testo.

Il messaggio contiene quasi sempre un link o un invito all’azione urgente (pagamenti, account bloccati, spedizioni, multe, documenti), progettato per indurre un “tap” immediato. Sui dispositivi Android obsoleti, lo smishing è particolarmente efficace perché può portare rapidamente all’apertura di siti malevoli, al download di APK inaffidabili o all’esecuzione di exploit noti.

Quali vulnerabilità restano aperte su un dispositivo Android non aggiornato

Dal punto di vista tecnico, un dispositivo non più supportato presenta tipicamente:

• CVE lato kernel non patchate, sfruttabili per attacchi di privilege escalation.
• Bug nel Media Framework, spesso attivabili tramite file multimediali o PDF.
• WebView vulnerabile, con impatto su tutte le app che incorporano contenuti Web.
• Stack di rete obsoleto, che ad esempio espone ad attacchi man-in-the-middle su reti WiFi pubbliche.
• Assenza di mitigazioni moderne, come miglioramenti a livello di SELinux o hardening a runtime.

Il falso senso di sicurezza delle app “protette”

Un aspetto poco discusso, ma cruciale, è il rapporto tra sicurezza applicativa e sicurezza del dispositivo. Molti utenti – e molte aziende – confidano nel fatto che le app più importanti (banche, email, strumenti di lavoro,…) adottino protezioni avanzate. Il problema è che un’app sicura su un dispositivo insicuro resta comunque potenzialmente esposta.

Il report Zimperium lo chiarisce bene: una percentuale significativa dei moderni attacchi non aggira l’app in sé, ma compromette l’ambiente in cui l’app gira. Sistema obsoleto, malware residente, hooking runtime o semplicemente man-in-the-middle locali rendono inefficaci molte difese applicative. Senza meccanismi di device attestation, l’app non è in grado di distinguere un ambiente affidabile da uno ostile.

In altre parole, la sicurezza non fallisce perché l’app è debole, ma perché il contesto è già compromesso.

Vivere con un Android vecchio, cosa è davvero possibile (e cosa no)

In un altro articolo ci siamo chiesti per quanto tempo è sicuro usare un dispositivo Android. È infatti irrealistico pensare che tutti possano sostituire immediatamente il proprio dispositivo alla fine del supporto del produttore. La domanda corretta, quindi, non è “posso rendere sicuro un Android vecchio?”, ma “posso ridurre il rischio in modo significativo?”. La risposta è sì, ma con limiti chiari.

Il primo principio efficace non è aggiungere software di sicurezza, ma ridurre la superficie d’attacco. Ogni app installata è codice che gira su un sistema già fragile. Un dispositivo usato solo per funzioni basilari, con poche app aggiornate e ben mantenute, è statisticamente molto meno interessante di uno smartphone sovraccarico di utility, launcher, tastiere alternative e app che incorporano browser interni vulnerabili.

Dal momento che ogni app è un possibile vettore, non solo quelle “maligne”, la prima regola consiste nel fare meno cose, non aggiungere “protezioni cosmetiche”:

• Disinstallare app non essenziali.
• Eliminare app che non ricevono update da mesi o anni.
• Evitare launcher, tastiere e app “utility” invasive.
• Limitare le app che usano WebView o browser embedded.

Un secondo elemento critico è l’isolamento. Un Android non più supportato non dovrebbe mai essere il punto centrale della vita digitale. Usarlo per telefonate, messaggi e navigazione occasionale è una cosa; usarlo per home banking, autenticazione a due fattori o email di lavoro è un’altra. Separare i ruoli dei dispositivi riduce enormemente l’impatto di una compromissione, anche quando questa dovesse malauguratamente avvenire.

Zimperium punta il dito contro il sideloading

I dati condivisi da Zimperium mostrano che il 23,5% dei dispositivi compromessi ha app installate attraverso la pratica del sideloading. Su un sistema vecchio, il sideloading moltiplica il rischio. Ecco quindi che l’azienda consiglia di disabilitare “Installa app sconosciute”, rimuovere store alternativi, bloccare APK ricevuti via chat, mail o browser.

Google ha recentemente avviato una feroce battaglia contro il sideloading, cercando di mettere dei paletti e arginare il fenomeno. Dal nostro punto di vista, il sideloading non andrebbe limitato anche perché si impedirebbe l’installazione di app completamente libere provenienti da store alternativi, come l’eccellente F-Droid.

Al solito, invece, dovrebbe esserci maggiore consapevolezza da parte degli utenti che dovrebbero sempre astenersi dall’installare APK sviluppati da autori non affidabili o provenienti da sorgenti “dubbie”. D’altra parte, come abbiamo già sottolineato, a nostro avviso il sideloading è un falso problema che allontana dal tema principale, ossia la possibilità per gli utenti di installare qualunque sistema sull’hardware che hanno acquistato.

Dove finiscono le mitigazioni e inizia il rischio non accettabile

Ci sono scenari in cui la mitigazione non basta. Se il dispositivo accede a dati aziendali, gestisce identità digitali o contiene informazioni riservate o addirittura sensibili, l’obsolescenza diventa un rischio operativo, non solo personale. In questi casi, continuare a usare un Android non aggiornabile non è una scelta di risparmio, ma una forma di esposizione consapevole a problemi di sicurezza e veri e propri attacchi.

La crescente disponibilità di dispositivi con cinque, sei o sette anni di supporto cambia anche il quadro economico: oggi la sicurezza è sempre più una caratteristica di lungo periodo, non un costo annuale. Scegliere hardware con supporto esteso non è solo una decisione tecnica, ma una strategia di riduzione del rischio nel tempo.

Regolamento UE 2023/1670 e Regolamento sull’etichettatura energetica

Peccato che il Regolamento europeo 2023/1670 non impone davvero un obbligo di 5 anni di supporto con aggiornamenti di sicurezza per tutti i produttori di smartphone e dispositivi mobili. Nonostante i roboanti proclami, infatti, non c’è alcun tipo di imposizione e il rilascio delle patch di sicurezza resta, purtroppo, un’azione volontaria. L’assist più importante per consumatori, professionisti e imprese arriva invece dal Regolamento sull’etichettatura energetica.

Quest’ultimo prescrive infatti che i produttori di smartphone dichiarino una disponibilità minima garantita di aggiornamenti pari a 5, 6 o 7 anni. Tale valore è pubblico, confrontabile e associato a un punteggio.

Installare una ROM personalizzata

La principale alternativa per trasformare uno smartphone non più supportato in un dispositivo che continua a ricevere gli aggiornamenti di sicurezza, consiste nell’installare una ROM personalizzata. Va tuttavia tenuto presente che Google sta spingendo sul concetto di Android Certified, ovvero un ambiente ufficialmente riconosciuto e certificato per garantire sicurezza, compatibilità e accesso ai servizi proprietari come il Play Store. Di conseguenza, alcune app potrebbero non funzionare correttamente o rifiutare l’installazione, poiché rilevano che il dispositivo non è più in esecuzione in un contesto certificato e quindi non garantito da Google.

Mentre l’installazione di una ROM personalizzata può prolungare la vita dello smartphone e fornire aggiornamenti di sicurezza, potrebbe limitare l’uso di applicazioni o legate ai servizi Google, richiedendo in alcuni casi soluzioni alternative o versioni modificate delle app.

In conclusione, il tempo è la vera vulnerabilità

Un dispositivo Android vecchio non è automaticamente compromesso, ma il tempo gioca contro di esso ogni giorno che passa senza l’applicazione delle patch di sicurezza.

Le vulnerabilità si accumulano, gli exploit si affinano, le tecniche di attacco diventano più accessibili. In questo scenario, la sicurezza non è più una questione di “funziona o non funziona”, ma di quanto a lungo il dispositivo può restare affidabile in un ecosistema ostile.