Google siirtää Androidin tietoturvapäivitykset NDA:n taakse - vaikutukset läpinäkyvyyteen ja GrapheneOS:ään

Google on uudistanut tavan, jolla se kertoo haavoittuvuuksista ja jakelee Androidin tietoturvakorjauksia. Jatkossa päivitykset toimitetaan ensin vain niille laitevalmistajille (OEM), jotka ovat allekirjoittaneet salassapitosopimuksen.

Uusien sääntöjen mukaan korjausten lähdekoodia ei välttämättä julkaista kolmeen kuukauteen sen jälkeen, kun päivitys on vastaanotettu. Tänä aikana valmistajat voivat jakaa ainoastaan binääripaketit ilman teknisiä yksityiskohtia. Käytännössä tämä hidastaa totuttua läpinäkyvyyden rytmiä ja rajaa varhaisen näkyvyyden pieneen kumppanijoukkoon. Tasapaino avoimuuden ja riskien hallinnan välillä käy aiempaa kapeammaksi.

Aiemmin Google julkaisi täydet haavoittuvuusselosteet kuukausittaisten Android Security -tiedotteiden yhteydessä. Esimerkiksi syyskuun 2025 listaus sisälsi 114 tunnistettua ongelmaa, kun taas lokakuun päivitys jätti niiden kuvaukset kokonaan pois. Ero on vaikea sivuuttaa.

Suunnanmuutoksen huomasi ensimmäisenä GrapheneOS, yksityisyyteen keskittyvä riippumaton Android-jakelu. Hankkeen mukaan uusi käytäntö hankaloittaa riippumattomien tietoturvatutkijoiden ja custom ROM -kehittäjien työtä, koska he tukeutuvat ajantasaiseen tekniseen tietoon reagoidakseen nopeasti.

Google puolestaan kertoo, että väliaikainen rajoitus on tarkoitettu vahvistamaan kokonaisturvaa estämällä hyökkääjiä analysoimasta korjauksia ja käyttämästä haavoittuvuuksia hyväksi ennen virallisten päivitysten saapumista. Yhtiö kuvaa lähestymistapaa salailuun tukeutuvaksi strategiaksi, jossa yksityiskohdat pidetään poissa julkisuudesta, kunnes korjaukset on laajasti otettu käyttöön.

Jotta se voisi jatkaa nopeasti päivittymistä, GrapheneOS on jo sopinut yhteistyöstä valmistajan kanssa, joka saa Googlelta korjaukset suoraan uuden järjestelmän puitteissa. Ratkaisu on pragmaattinen, mutta alleviivaa sitä, että pääsy riippuu nyt virallisista sopimuksista ennemmin kuin avoimesta dokumentaatiosta.