{"id":1403,"date":"2026-03-03T18:30:00","date_gmt":"2026-03-03T17:30:00","guid":{"rendered":"https:\/\/darioiannascoli.it\/blog\/patch-sicurezza-android-marzo-2026-zero-day-qualcomm-cve-2026-21385\/"},"modified":"2026-03-03T18:30:00","modified_gmt":"2026-03-03T17:30:00","slug":"patch-sicurezza-android-marzo-2026-zero-day-qualcomm-cve-2026-21385","status":"publish","type":"post","link":"https:\/\/darioiannascoli.it\/blog\/patch-sicurezza-android-marzo-2026-zero-day-qualcomm-cve-2026-21385\/","title":{"rendered":"Patch di Sicurezza Android Marzo 2026: 129 Vulnerabilit\u00e0 Corrette e Zero-Day Qualcomm CVE-2026-21385 Gi\u00e0 Sfruttato \u2014 Come Verifico se il Mio Smartphone \u00e8 Aggiornato e Protetto"},"content":{"rendered":"<p>Oggi, 3 marzo 2026, Google ha rilasciato il <strong>bollettino di sicurezza Android di marzo 2026<\/strong> e, nella mia esperienza, \u00e8 uno degli aggiornamenti pi\u00f9 massicci degli ultimi anni. Con <strong>129 vulnerabilit\u00e0 corrette<\/strong> \u2014 il numero pi\u00f9 alto in un singolo mese dal 2018 \u2014 e una <strong>falla zero-day Qualcomm gi\u00e0 sfruttata attivamente<\/strong>, ho ritenuto fondamentale scrivere questa guida per aiutarvi a capire cosa \u00e8 successo, quanto siete a rischio e come verificare immediatamente lo stato del vostro dispositivo.<\/p>\n<p>Chi mi segue sa che la sicurezza Android \u00e8 un tema che tratto regolarmente. Se avete letto il mio articolo sulle <a href=\"https:\/\/darioiannascoli.it\/blog\/novita-android-febbraio-2026-2\/\">novit\u00e0 Android di febbraio 2026<\/a>, sapete gi\u00e0 quanto siano importanti le patch mensili. Ma questo mese siamo davanti a qualcosa di diverso: uno <em>zero-day<\/em> con exploit confermato in the wild, che colpisce oltre 200 chipset Qualcomm. Non \u00e8 un&#8217;esercitazione teorica \u2014 qualcuno sta gi\u00e0 sfruttando questa vulnerabilit\u00e0.<\/p>\n<h2>Cosa Contiene il Bollettino di Sicurezza Android Marzo 2026<\/h2>\n<p>L&#8217;aggiornamento di marzo \u00e8 strutturato in <strong>due livelli di patch<\/strong>, come sempre, ma il volume delle correzioni \u00e8 eccezionale. Vi spiego nel dettaglio cosa include ciascun livello.<\/p>\n<h3>Patch Level 2026-03-01: Correzioni al Core Android<\/h3>\n<p>Il primo livello affronta le vulnerabilit\u00e0 nel <strong>Framework<\/strong> e nel <strong>System<\/strong> di Android. Tra le pi\u00f9 gravi ho individuato:<\/p>\n<ul>\n<li><strong>CVE-2026-0006<\/strong> (CVSS 9.8) \u2014 Vulnerabilit\u00e0 critica di <em>Remote Code Execution<\/em> (RCE) nel componente System. Un attaccante remoto potrebbe eseguire codice malevolo senza bisogno di privilegi aggiuntivi e senza interazione dell&#8217;utente. Colpisce Android 16 ed \u00e8 legata al componente Mainline Media Codecs, quindi pu\u00f2 essere corretta tramite aggiornamento Google Play.<\/li>\n<li><strong>CVE-2025-48631<\/strong> (CVSS 8.6) \u2014 Denial-of-Service critico nel componente System che colpisce Android 14, 15, 16 e 16-QPR2.<\/li>\n<li><strong>CVE-2026-0047<\/strong> \u2014 Elevation of Privilege critico nel Framework, limitato ad Android 16-QPR2.<\/li>\n<\/ul>\n<p>La sezione Framework \u00e8 la pi\u00f9 corposa del bollettino, con oltre 30 CVE. La maggior parte sono problemi di <em>escalation of privilege<\/em> classificati High, con tre vulnerabilit\u00e0 di information disclosure e tre di denial-of-service.<\/p>\n<h3>Patch Level 2026-03-05: Kernel, Chipset e lo Zero-Day Qualcomm<\/h3>\n<p>Il secondo livello \u00e8 quello che ha fatto scattare l&#8217;allarme nella comunit\u00e0 di sicurezza. Include correzioni per oltre 60 vulnerabilit\u00e0 in componenti kernel e hardware di vari produttori:<\/p>\n<ul>\n<li><strong>Kernel<\/strong>: 15 vulnerabilit\u00e0, incluse falle critiche nel sottosistema pKVM (CVE-2026-0037, CVE-2026-0027, CVE-2026-0028, CVE-2026-0030, CVE-2026-0031), nel file system F2FS (CVE-2024-43859) e nell&#8217;Hypervisor (CVE-2026-0038).<\/li>\n<li><strong>Qualcomm open-source<\/strong>: 7 CVE nei componenti Display e Security, incluso lo zero-day CVE-2026-21385.<\/li>\n<li><strong>Qualcomm closed-source<\/strong>: 8 vulnerabilit\u00e0 in componenti binari proprietari.<\/li>\n<li><strong>MediaTek<\/strong>: 20 CVE che coinvolgono KeyInstall, display e modem.<\/li>\n<li><strong>Imagination Technologies<\/strong>: 7 falle nelle GPU PowerVR.<\/li>\n<li><strong>Unisoc<\/strong>: 7 vulnerabilit\u00e0 modem.<\/li>\n<li><strong>Arm<\/strong>: 1 vulnerabilit\u00e0 Mali GPU.<\/li>\n<\/ul>\n<h2>CVE-2026-21385: Lo Zero-Day Qualcomm Gi\u00e0 Sfruttato in Attacchi Reali<\/h2>\n<p>La protagonista negativa di questo bollettino \u00e8 senza dubbio <strong>CVE-2026-21385<\/strong>. Vi mostro nel dettaglio perch\u00e9 \u00e8 cos\u00ec pericolosa e cosa sappiamo finora.<\/p>\n<h3>Analisi Tecnica della Vulnerabilit\u00e0<\/h3>\n<p>CVE-2026-21385 ha un <strong>CVSS score di 7.8<\/strong> (severity High) ed \u00e8 un bug di tipo <em>integer overflow or wraparound<\/em> nel componente grafico open-source di Qualcomm (KGSL \u2014 Kernel Graphics Support Layer). Tecnicamente, la corruzione di memoria avviene quando vengono aggiunti dati forniti dall&#8217;utente senza verificare lo spazio del buffer disponibile, in particolare durante l&#8217;uso degli allineamenti per l&#8217;allocazione della memoria.<\/p>\n<p>La fix modifica il tipo di ritorno della funzione <code>kgsl_memdesc_get_align()<\/code> da <em>signed int<\/em> a <em>unsigned u32<\/em>, prevenendo l&#8217;estensione del segno durante le operazioni di bit-shift. Una corruzione di memoria in un driver display \u00e8 particolarmente pericolosa perch\u00e9 opera a livello kernel e pu\u00f2 permettere a un&#8217;app malevola con privilegi limitati di corrompere strutture di memoria critiche nel sottosistema grafico.<\/p>\n<h3>Timeline della Divulgazione<\/h3>\n<p>La cronologia degli eventi \u00e8 stata rapida ma ordinata:<\/p>\n<ol>\n<li><strong>18 dicembre 2025<\/strong> \u2014 Il team Android Security di Google segnala la falla a Qualcomm.<\/li>\n<li><strong>2 febbraio 2026<\/strong> \u2014 Qualcomm notifica i propri clienti (i produttori di dispositivi).<\/li>\n<li><strong>3 marzo 2026<\/strong> \u2014 Google pubblica il bollettino confermando lo sfruttamento attivo.<\/li>\n<\/ol>\n<h3>Quanto \u00c8 Diffuso il Rischio<\/h3>\n<p>Questo \u00e8 il dato che mi ha colpito di pi\u00f9: la vulnerabilit\u00e0 <strong>interessa oltre 234 chipset Qualcomm<\/strong> \u2014 non \u00e8 un refuso. Dai flagship come lo <strong>Snapdragon 8 Gen 1, 8 Gen 2, 8 Gen 3<\/strong> ai mid-range come lo <strong>Snapdragon 778G<\/strong>, passando per serie 4, 6 e 7, fino a piattaforme automotive, XR, wearable e networking. In pratica, la stragrande maggioranza dei dispositivi Android con processore Qualcomm \u00e8 potenzialmente vulnerabile.<\/p>\n<p>Google ha dichiarato che &#8220;there are indications that CVE-2026-21385 may be under limited, targeted exploitation&#8221;, ma questi tipi di vulnerabilit\u00e0 sono spesso sfruttati da <strong>vendor di spyware commerciale<\/strong>. Se gestite dispositivi aziendali o avete dati sensibili sul telefono, non aspettate.<\/p>\n<h2>Come Verifico se il Mio Smartphone Android \u00e8 Aggiornato e Protetto<\/h2>\n<p>Nella mia esperienza, molti utenti non sanno nemmeno dove controllare il livello di patch del proprio dispositivo. Vi mostro come farlo in pochi passaggi.<\/p>\n<h3>Verificare il Livello di Patch su Stock Android e Pixel<\/h3>\n<ol>\n<li>Aprite <strong>Impostazioni<\/strong>.<\/li>\n<li>Andate su <strong>Sicurezza e privacy<\/strong> (o &#8220;Informazioni sul telefono&#8221; &gt; &#8220;Versione Android&#8221;).<\/li>\n<li>Cercate la voce <strong>&#8220;Livello patch di sicurezza Android&#8221;<\/strong>.<\/li>\n<li>Se la data visualizzata \u00e8 <strong>2026-03-05 o successiva<\/strong>, siete protetti contro tutte le 129 vulnerabilit\u00e0, incluso lo zero-day Qualcomm.<\/li>\n<li>Se \u00e8 <strong>2026-03-01<\/strong>, avete le fix per Framework e System ma <em>non<\/em> per le vulnerabilit\u00e0 kernel e chipset.<\/li>\n<li>Se \u00e8 precedente, siete esposti e dovete aggiornare subito.<\/li>\n<\/ol>\n<h3>Verificare il Livello di Patch su Samsung Galaxy<\/h3>\n<ol>\n<li>Aprite <strong>Impostazioni<\/strong> &gt; <strong>Aggiornamento software<\/strong>.<\/li>\n<li>Toccate <strong>&#8220;Scarica e installa&#8221;<\/strong> per verificare la disponibilit\u00e0.<\/li>\n<li>Per controllare la versione attuale: <strong>Impostazioni<\/strong> &gt; <strong>Informazioni sul telefono<\/strong> &gt; <strong>Informazioni sul software<\/strong> &gt; <strong>&#8220;Livello patch di sicurezza Android&#8221;<\/strong>.<\/li>\n<\/ol>\n<p>Samsung ha gi\u00e0 dettagliato la propria patch di marzo 2026 con <strong>65 fix totali<\/strong>: 60 CVE Android fornite da Google pi\u00f9 5 SVE (Samsung Vulnerabilities and Exposures) specifiche per Galaxy, di cui 8 critiche, 52 high e 3 moderate. Il rollout inizier\u00e0 a breve, probabilmente prima sui dispositivi flagship e pi\u00f9 recenti.<\/p>\n<h3>Cosa Fare se l&#8217;Aggiornamento Non \u00c8 Ancora Disponibile<\/h3>\n<p>All&#8217;inizio non funzionava il mio tentativo di aggiornare un vecchio dispositivo di test perch\u00e9 il produttore non aveva ancora rilasciato la patch. Ecco cosa vi consiglio nel frattempo:<\/p>\n<ul>\n<li><strong>Attivate Google Play Protect<\/strong>: \u00e8 il livello di difesa attiva che monitora e blocca le app potenzialmente dannose. Trovatelo su Google Play Store &gt; Profilo &gt; Play Protect.<\/li>\n<li><strong>Controllate i permessi delle app<\/strong>: rimuovete accessi non necessari, soprattutto per app sconosciute. Ho scritto una <a href=\"https:\/\/darioiannascoli.it\/blog\/controllo-permessi-app-android-rimuovere-pericolose\/\">guida dettagliata sul controllo dei permessi<\/a> che vi consiglio di rileggere.<\/li>\n<li><strong>Evitate di installare APK da fonti non verificate<\/strong>: con un exploit attivo nel driver grafico, qualsiasi app malevola potrebbe tentare di sfruttarlo.<\/li>\n<li><strong>Attivate DNS privato<\/strong>: se non l&#8217;avete gi\u00e0 fatto, la mia <a href=\"https:\/\/darioiannascoli.it\/blog\/dns-privato-protezione-tracciamento-android-privacy\/\">guida alla configurazione DNS privato su Android<\/a> vi aiuter\u00e0 a ridurre il rischio di attacchi di rete.<\/li>\n<\/ul>\n<h2>Le Vulnerabilit\u00e0 Critiche Pi\u00f9 Pericolose di Questo Bollettino<\/h2>\n<p>Oltre allo zero-day, ho catalogato le falle pi\u00f9 gravi per darvi un quadro completo di cosa rischia chi non aggiorna.<\/p>\n<h3>Remote Code Execution (RCE) \u2014 CVE-2026-0006<\/h3>\n<p>Con un CVSS di <strong>9.8<\/strong>, \u00e8 la vulnerabilit\u00e0 pi\u00f9 grave del bollettino in termini di punteggio. Risiede nel componente System e consente l&#8217;esecuzione di codice remoto senza privilegi e senza interazione dell&#8217;utente. Su Android 16, la fix \u00e8 distribuibile anche tramite <strong>Google Play System Updates<\/strong> via Mainline (componente Media Codecs), il che significa che non serve aspettare l&#8217;OTA del produttore su dispositivi compatibili.<\/p>\n<h3>Elevation of Privilege nel Kernel (pKVM e Hypervisor)<\/h3>\n<p>Cinque vulnerabilit\u00e0 critiche colpiscono il sottosistema <em>Protected Kernel-Based Virtual Machine<\/em> (pKVM) con CVSS fino a 9.0. CVE-2026-0038 riguarda l&#8217;Hypervisor con potenziale escape dalla macchina virtuale verso il controllo dell&#8217;host. Queste falle richiedono privilegi System per l&#8217;exploitation ma non necessitano di interazione utente.<\/p>\n<h2>Patch di Sicurezza Android Marzo 2026: Impatto su Samsung, Pixel e Altri Produttori<\/h2>\n<p>Come sapete, il panorama Android \u00e8 frammentato e ogni produttore ha i suoi tempi di rilascio. Ecco cosa so al momento:<\/p>\n<ul>\n<li><strong>Google Pixel<\/strong>: aggiornamento gi\u00e0 in distribuzione dal 3 marzo per i dispositivi supportati.<\/li>\n<li><strong>Samsung Galaxy<\/strong>: bollettino dettagliato con 65 fix, rollout imminente nei prossimi giorni (i flagship riceveranno la patch per primi).<\/li>\n<li><strong>Altri produttori<\/strong>: Google ha notificato tutti i partner Android almeno un mese prima della pubblicazione. I tempi di rilascio dipendono dal singolo OEM.<\/li>\n<\/ul>\n<p>Il codice sorgente delle patch AOSP sar\u00e0 pubblicato entro 48 ore dalla pubblicazione del bollettino. Se utilizzate una custom ROM, monitorate il repository AOSP.<\/p>\n<p>A proposito di sicurezza del dispositivo Android, vi ricordo anche il mio articolo su <a href=\"https:\/\/darioiannascoli.it\/blog\/malware-keenadu-android-rilevare-rimuovere-firmware\/\">come verificare la presenza del malware Keenadu nel firmware<\/a> \u2014 un&#8217;altra minaccia concreta che ho documentato di recente.<\/p>\n<h2>Consigli per le Aziende: Come Gestire Questa Emergenza su Flotta Mobile<\/h2>\n<p>Se gestite una flotta di dispositivi Android in ambito enterprise, ho configurato un approccio che vi consiglio:<\/p>\n<ul>\n<li><strong>Enforcate l&#8217;aggiornamento via MDM<\/strong>: impostate una policy che blocchi l&#8217;accesso alle risorse aziendali per i dispositivi con livello di patch inferiore a 2026-03-05.<\/li>\n<li><strong>Fate un inventario dei chipset<\/strong>: incrociate i dispositivi aziendali con la lista dei 234 chipset Qualcomm vulnerabili per dare priorit\u00e0 ai dispositivi a rischio.<\/li>\n<li><strong>Monitorate anomalie<\/strong>: crash ricorrenti delle app, comportamenti anomali del display o consumi batteria insoliti possono essere indicatori di exploitation. A questo proposito, la mia <a href=\"https:\/\/darioiannascoli.it\/blog\/consumo-batteria-anomalo-android-soluzione\/\">guida al consumo anomalo di batteria su Android<\/a> pu\u00f2 aiutarvi nella diagnosi.<\/li>\n<\/ul>\n<h2>FAQ<\/h2>\n<h3>Qual \u00e8 la vulnerabilit\u00e0 pi\u00f9 pericolosa nella patch Android di marzo 2026?<\/h3>\n<p>La vulnerabilit\u00e0 pi\u00f9 critica in termini di sfruttamento attivo \u00e8 <strong>CVE-2026-21385<\/strong>, uno zero-day nel componente grafico Qualcomm con CVSS 7.8, gi\u00e0 utilizzato in attacchi reali mirati. In termini di punteggio CVSS, la pi\u00f9 grave \u00e8 CVE-2026-0006 (CVSS 9.8), una Remote Code Execution nel componente System che non richiede interazione utente.<\/p>\n<h3>Come faccio a sapere se il mio smartphone \u00e8 protetto dallo zero-day Qualcomm?<\/h3>\n<p>Andate in <strong>Impostazioni &gt; Sicurezza e privacy<\/strong> (o Informazioni sul telefono &gt; Versione Android) e controllate il <strong>livello patch di sicurezza<\/strong>. Per essere protetti contro CVE-2026-21385, dovete avere il livello <strong>2026-03-05 o successivo<\/strong>. Il livello 2026-03-01 non include la fix per lo zero-day Qualcomm.<\/p>\n<h3>Quanti chipset Qualcomm sono colpiti da CVE-2026-21385?<\/h3>\n<p>Oltre <strong>234 chipset Qualcomm<\/strong> sono vulnerabili, inclusi Snapdragon 8 Gen 1, 8 Gen 2, 8 Gen 3, Snapdragon 888, 865, 778G e numerosi SoC delle serie 4, 6 e 7, oltre a piattaforme automotive, XR e wearable. La lista completa \u00e8 nel bollettino di sicurezza Qualcomm.<\/p>\n<h3>Samsung ha gi\u00e0 rilasciato la patch di marzo 2026?<\/h3>\n<p>Samsung ha dettagliato la propria patch di marzo 2026 con 65 fix totali (60 CVE Google + 5 SVE Samsung), ma al 3 marzo il rollout non \u00e8 ancora iniziato. \u00c8 previsto nei prossimi giorni, con i dispositivi flagship e pi\u00f9 recenti che riceveranno l&#8217;aggiornamento per primi.<\/p>\n<h3>Cosa rischio se non aggiorno il mio dispositivo Android?<\/h3>\n<p>Senza la patch di marzo 2026, il vostro dispositivo \u00e8 esposto a 129 vulnerabilit\u00e0 tra cui RCE (esecuzione di codice remoto), escalation of privilege e denial-of-service. In particolare, la falla zero-day CVE-2026-21385 potrebbe consentire a un&#8217;app malevola di corrompere la memoria nel sottosistema grafico e ottenere il controllo del dispositivo.<\/p>\n<h2>Conclusione: Aggiornate Subito alla Patch di Sicurezza Android Marzo 2026<\/h2>\n<p>Nella mia esperienza di system administrator, non mi capita spesso di dire &#8220;aggiornate subito&#8221; con questa urgenza. Ma la combinazione di 129 vulnerabilit\u00e0 corrette, 10 falle critiche e uno zero-day Qualcomm gi\u00e0 sfruttato in attacchi reali rende la <strong>patch di sicurezza Android marzo 2026<\/strong> un aggiornamento che non potete rimandare.<\/p>\n<p>Se avete un dispositivo con chipset Qualcomm \u2014 e statisticamente la maggior parte degli smartphone Android ne monta uno \u2014 siete nel mirino. Controllate subito il livello di patch, attivate Google Play Protect e, se siete in ambito enterprise, forzate l&#8217;aggiornamento via MDM.<\/p>\n<p>Vi invito anche a leggere il mio recente articolo su <a href=\"https:\/\/darioiannascoli.it\/blog\/protezione-deepfake-truffe-ai-strumenti-verifica-digital-provenance-2026\/\">come proteggersi dalle truffe AI e deepfake nel 2026<\/a> e quello sulla <a href=\"https:\/\/darioiannascoli.it\/blog\/verifica-obbligatoria-sviluppatori-android-2026-eff-fdroid-opposizione\/\">verifica obbligatoria degli sviluppatori Android<\/a> per un quadro completo sulla sicurezza dell&#8217;ecosistema Android.<\/p>\n<p>Avete gi\u00e0 ricevuto la patch di marzo sul vostro dispositivo? Quale produttore usate? Fatemelo sapere nei commenti \u2014 sono curioso di monitorare i tempi di rilascio dei vari OEM.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Google corregge 129 vulnerabilit\u00e0 Android a marzo 2026, incluso lo zero-day Qualcomm CVE-2026-21385 gi\u00e0 sfruttato. Ecco come verificare se sei protetto.<\/p>\n","protected":false},"author":1,"featured_media":1404,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"Patch Sicurezza Android Marzo 2026: Zero-Day Qualcomm CVE-2026-21385","_seopress_titles_desc":"129 vulnerabilit\u00e0 corrette e zero-day Qualcomm CVE-2026-21385 sfruttato: scopri come verificare se il tuo Android \u00e8 aggiornato alla patch marzo 2026.","_seopress_robots_index":"","footnotes":""},"categories":[7],"tags":[354,353,142,138,352],"class_list":["post-1403","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-android","tag-aggiornamento-android-marzo-2026","tag-cve-2026-21385","tag-patch-sicurezza-android","tag-sicurezza-mobile","tag-zero-day-qualcomm"],"_links":{"self":[{"href":"https:\/\/darioiannascoli.it\/blog\/wp-json\/wp\/v2\/posts\/1403","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/darioiannascoli.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/darioiannascoli.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/darioiannascoli.it\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/darioiannascoli.it\/blog\/wp-json\/wp\/v2\/comments?post=1403"}],"version-history":[{"count":0,"href":"https:\/\/darioiannascoli.it\/blog\/wp-json\/wp\/v2\/posts\/1403\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/darioiannascoli.it\/blog\/wp-json\/wp\/v2\/media\/1404"}],"wp:attachment":[{"href":"https:\/\/darioiannascoli.it\/blog\/wp-json\/wp\/v2\/media?parent=1403"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/darioiannascoli.it\/blog\/wp-json\/wp\/v2\/categories?post=1403"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/darioiannascoli.it\/blog\/wp-json\/wp\/v2\/tags?post=1403"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}