Дарья Каширина
13 октября 2025 15:51:02
Фото: © B. Naumkin
Google изменила политику безопасности Android — исходный код патчей теперь закрыт на три месяца, а доступ к обновлениям получат только производители, подписавшие соглашение о неразглашении.
Google пересмотрела стратегию раскрытия уязвимостей и распространения патчей безопасности для Android. Теперь обновления безопасности сначала будут доступны только производителям оборудования (OEM), которые подпишут соглашение о неразглашении (NDA).
Согласно новым правилам, исходный код исправлений нельзя публиковать в течение трёх месяцев с момента получения обновления. В этот период производители смогут выпускать только бинарные сборки с исправлениями, но без раскрытия деталей.
Ранее Google публиковала полные отчёты об уязвимостях вместе с ежемесячными бюллетенями Android Security. Например, в сентябре 2025 года в списке было 114 обнаруженных уязвимостей, а в октябрьском обновлении их описание полностью отсутствует.
Изменения впервые заметила команда GrapheneOS — независимой Android-системы, ориентированной на конфиденциальность. В компании считают, что новая политика усложнит работу независимых исследователей безопасности и разработчиков кастомных прошивок.
Google, в свою очередь, заявляет, что временное ограничение направлено на повышение общей безопасности, чтобы злоумышленники не могли быстро анализировать патчи и использовать найденные уязвимости до выхода официальных обновлений. В компании называют этот подход частью стратегии «Security through obscurity» — «безопасность через неизвестность».
Чтобы продолжать выпускать своевременные обновления, GrapheneOS уже заключила соглашение о сотрудничестве с одним из производителей, который получает патчи напрямую от Google в рамках новой системы.