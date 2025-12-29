Un miliardo di persone va in giro con uno smartphone vulnerabile in tasca. Non è retorica: è il numero stimato di dispositivi Android fermi a versioni vecchie, senza più aggiornamenti di sicurezza, mentre le minacce si moltiplicano.

Secondo Zimperium, azienda di cybersicurezza mobile, oltre il 30% degli smartphone Android gira su versioni che Google non supporta più, come Android 13, 12, 11. Questi sistemi non riceveranno mai più correzioni. Le loro vulnerabilità sono note e gli hacker le conoscono bene.

Un terzo degli smartphone Android è obsoleto e vulnerabile

Solo l’aggiornamento di dicembre 2024 ha corretto 107 falle di sicurezza. Per chi ha un telefono ancora supportato, quelle 107 vulnerabilità sono state tappate. Per il miliardo di dispositivi esclusi da questa manutenzione, quelle stesse falle sono diventate permanenti.

Secondo Zimperium, oltre metà dei dispositivi Android gira su versioni datate del sistema operativo. Guardando i dati di StatCounter, più del 30% degli utenti è ancora su Android 13 o versioni più vecchie, uscite nel 2022 o prima. Google non supporta più questi modelli, perciò non riceveranno mai più aggiornamenti di sicurezza, a prescindere dalle vulnerabilità che emergeranno.

È il problema endemico dell’ecosistema Android: la frammentazione. Ci sono centinaia di produttori, Samsung, Xiaomi, Oppo, Realme, Motorola, e decine di marchi minori, ognuno con le proprie interfacce personalizzate e configurazioni hardware. Quando Google rilascia un aggiornamento, ogni produttore deve adattarlo alle proprie skin e ai propri dispositivi. Questo processo complesso causa implementazioni a scaglioni che possono durare mesi. In pratica, una vulnerabilità può essere corretta da Google ma restare sfruttabile per mesi e mesi su un telefono che aspetta che il produttore si decida a rilasciare l’aggiornamento.

Apple fa quello che vuole, Android arranca

Nel mondo Apple la situazione è diametralmente opposta. Il controllo unificato su hardware e software permette di distribuire gli aggiornamenti simultaneamente su tutti i dispositivi. Il 90% degli iPhone attivi nel mondo è aggiornato nello stesso momento. Quando Apple rilascia iOS 18, entro poche settimane la stragrande maggioranza degli utenti lo ha già installato.

Gli utenti Android apprezzano la varietà di scelta e le diverse fasce di prezzo. Si può comprare uno smartphone decente a 200 euro o un top di gamma a 1.200 euro, ma questo vuol dire che nessuno ha il controllo totale dell’ecosistema. Google può fare tutte le patch di sicurezza che vuole, ma se Xiaomi decide che il telefono di tre anni fa non merita più aggiornamenti, non c’è niente da fare. E Xiaomi lo farà, perché preferisce che la gente compri il modello nuovo piuttosto che mantenere quello vecchio sicuro.

Gli hacker sanno esattamente cosa cercare

La cosa più sconvolgente, è che gli hacker sanno esattamente quali modelli sono vulnerabili. Non devono nemmeno fare ricerche complicate, basta guardare quale versione di Android si sta usando e consultare la lista pubblica delle vulnerabilità che Google ha corretto nelle versioni successive. Quelle falle diventano exploit imperdibili per gli hacker che prendono di mira specificamente i dispositivi non protetti.

Oltre ai bug di sicurezza, c’è il problema delle applicazioni che smettono di aggiornarsi. Molte app richiedono versioni recenti di Android per funzionare correttamente. L’utente si ritrova con un telefono che non solo è vulnerabile agli attacchi, ma che gradualmente perde funzionalità perché le app che usa quotidianamente non sono più compatibili.

La fine del ciclo di vita

Google non pubblica una data ufficiale di “fine vita” per ogni versione di Android, ma applica una regola implicita, assicura il supporto di sicurezza attivo per la versione corrente e le due o tre precedenti. Con l’arrivo previsto di Android 16 a giugno 2025, le versioni ufficialmente mantenute diventeranno Android 16, 15 e 14. Tutto quello che c’è prima, Android 13 incluso, è fuori gioco.

Android 13 è uscito tre anni fa nel 2022. È teoricamente uscito dal ciclo di manutenzione prioritaria, ma Google non lo comunica esplicitamente. In pratica, i produttori come Samsung o Xiaomi smettono di distribuire le patch non appena Google non li obbliga più a farlo per mantenere la certificazione dei Google Play Services. È un abbandono silenzioso, il telefono continua a funzionare, le app girano ancora, ma le vulnerabilità di sicurezza si accumulano senza mai essere corrette.

Così, un utente che oggi, a fine 2024, possiede un dispositivo con Android 13, non riceverà più gli aggiornamenti mensili di sicurezza. Stesso discorso per chi usa Android 12 o 11. Secondo gli ultimi dati di StatCounter, il 10,8% degli smartphone Android userebbe ancora Android 12 e il 15% Android 13. Sommando le versioni ancora più vecchie, arriviamo tranquillamente a un terzo dell’intero ecosistema Android.

Per Zimperium, conservare uno smartphone il cui supporto è terminato non è un rischio ipotetico ma una certezza. Ogni mese che passa senza aggiornamenti è un mese in cui gli hacker scoprono nuove vulnerabilità, le documentano, le condividono nelle community e le trasformano in exploit automatizzati.

La soluzione sarebbe semplice, comprare un telefono nuovo con una versione recente di Android e magari scegliere un produttore che garantisce aggiornamenti più lunghi. Google con i Pixel promette sette anni di supporto, Samsung offre cinque anni per i flagship. Ma non tutti possono permettersi di cambiare telefono ogni tre anni, e molti utenti nemmeno sanno di avere un problema fino a quando non è troppo tardi.