Qualcomm ha comunicato lunedì 2 giugno il rilascio di una serie di patch correttive per dozzine di suoi chipset, volte a sanare diverse vulnerabilità di sicurezza. Tra queste, destano particolare preoccupazione tre falle di tipo "zero-day", per le quali l'azienda stessa, citando il Threat Analysis Group di Google, ha indicato che "potrebbero essere oggetto di sfruttamento limitato e mirato" nell'ambito di campagne di hacking.
Secondo il bollettino di sicurezza pubblicato da Qualcomm, le tre vulnerabilità zero-day (identificate come CVE-2025-21479, CVE-2025-21480 e CVE-2025-27038) erano state segnalate all'azienda già a febbraio dal team di sicurezza Android di Google e le patch correttive sono state messe a disposizione dei produttori OEM nel corso di maggio, accompagnate da una forte raccomandazione da parte di Qualcomm di implementare gli aggiornamenti sui dispositivi interessati il prima possibile.
Tuttavia, data la natura open source e frammentata dell'ecosistema Android, la distribuzione effettiva delle correzioni agli utenti finali dipende dai singoli produttori, il che potrebbe significare che alcuni dispositivi rimarranno vulnerabili per diverse settimane, nonostante le patch siano disponibili. Resta quindi da capire quanto siano state effettivamente sfruttate queste vulnerabilità, ma il fatto che Qualcomm confermi che il loro utilizzo sia possibile, ci spinge a consigliare l'installazione degli aggiornamenti Android di maggio non appena disponibili.
Sempre restando in tema zero-day, negli ultimi mesi, sono emersi casi documentati di sfruttamento di vulnerabilità nei chipset Qualcomm; l'anno scorso, ad esempio, Amnesty International aveva identificato una vulnerabilità zero-day di Qualcomm utilizzato dalle autorità serbe, presumibilmente tramite strumenti forniti da Cellebrite.
Kai Cenat reveals Streamer Drama Island plans after University success