Google zavádí NDA pro zranitelnosti v Androidu: detaily oprav se odkládají až o 3 měsíce, záplaty nejprve dostanou pouze OEM a partneři typu GrapheneOS.
© B. Naumkin
Google zásadně změnil způsob, jakým zveřejňuje zranitelnosti a distribuuje bezpečnostní záplaty pro Android. Nově budou bezpečnostní aktualizace nejprve dostupné jen výrobcům zařízení (OEM), kteří podepíšou dohodu o mlčenlivosti (NDA).
Podle nových pravidel se zdrojové kódy oprav nemusí zveřejňovat až tři měsíce poté, co je výrobci obdrží. Během tohoto období mohou dodavatelé vydávat pouze binární sestavení s opravami, bez technických detailů. V praxi to zpomaluje obvyklý rytmus transparentního zveřejňování a drží včasný přístup k informacím v rukou úzkého okruhu partnerů.
Dříve Google publikoval úplné zprávy o zranitelnostech společně s měsíčními bulletiny Android Security. Zářijový seznam 2025 obsahoval 114 identifikovaných problémů, zatímco říjnová aktualizace jejich popisy zcela vynechala. Kontrast je obtížné přehlédnout.
Na změnu jako první upozornil tým GrapheneOS, nezávislé distribuce Androidu zaměřené na soukromí. Podle projektu nová politika zkomplikuje práci nezávislým bezpečnostním výzkumníkům i vývojářům vlastních ROM, kteří se spoléhají na rychle dostupná technická data.
Google naopak uvádí, že dočasné omezení má zvýšit celkovou bezpečnost: má zabránit tomu, aby útočníci rychle analyzovali záplaty a zneužili zranitelnosti ještě před příchodem oficiálních aktualizací. Firma přístup popisuje jako spoléhání na zamlčování detailů, dokud nejsou opravy široce nasazené.
Aby si udržel tempo vydávání, GrapheneOS už uzavřel partnerství s výrobcem, který podle nových pravidel dostává záplaty přímo od Googlu. Je to pragmatické řešení, jež zároveň dává najevo, že přístup k informacím se nyní opírá spíše o formální dohody než o otevřenou dokumentaci.