Google ने Android सुरक्षा अपडेट के खुलासे की नीति बदली: अब पैच पहले NDA-हस्ताक्षरित OEMs को मिलेंगे, सोर्स कोड 3 माह तक रोका जाएगा. GrapheneOS पर असर.
© B. Naumkin
Google ने Android की कमजोरियों का खुलासा करने और सुरक्षा पैच वितरित करने का तरीका बदल दिया है. अब से सुरक्षा अपडेट पहले सिर्फ उन हार्डवेयर निर्माताओं (OEMs) को मिलेंगे, जो गैर-प्रकटीकरण समझौते (NDA) पर हस्ताक्षर करेंगे.
नए नियमों के तहत, किसी अपडेट के मिलने के बाद सुधारों का सोर्स कोड तीन महीने तक सार्वजनिक नहीं किया जा सकता. इस अवधि में विक्रेता केवल पैच लगे बायनरी बिल्ड भेज पाएंगे, तकनीकी बारीकियां बताए बिना. व्यवहार में इससे पारदर्शिता की सामान्य रफ्तार धीमी पड़ती है और शुरुआती झलक एक छोटे से साझेदार समूह तक सीमित रहती है—पिछले खुलेपन से यह एक स्पष्ट मोड़ है.
पहले Google मासिक Android Security बुलेटिन के साथ पूरी कमजोरियों की रिपोर्ट जारी करता था. उदाहरण के लिए, सितंबर 2025 की सूची में 114 पहचानी गई समस्याएं शामिल थीं, जबकि अक्टूबर अपडेट में उनके विवरण पूरी तरह अनुपस्थित रहे. फर्क नजरअंदाज करना मुश्किल है.
यह बदलाव सबसे पहले गोपनीयता-केंद्रित स्वतंत्र Android डिस्ट्रीब्यूशन GrapheneOS की टीम ने पहचाना. परियोजना का कहना है कि नई नीति स्वतंत्र सुरक्षा शोधकर्ताओं और कस्टम ROM डेवलपर्स के लिए काम और मुश्किल बना देगी, क्योंकि वे त्वरित प्रतिक्रिया के लिए समय पर तकनीकी जानकारी पर निर्भर रहते हैं.
Google की दलील है कि अस्थायी पाबंदी का उद्देश्य समग्र सुरक्षा बढ़ाना है—ताकि हमलावर पैच का शीघ्र विश्लेषण करके, आधिकारिक अपडेट आने से पहले, कमजोरियों का लाभ न उठा सकें. कंपनी इस दृष्टिकोण को security-through-obscurity, यानी व्यापक रूप से सुधार लागू होने तक विवरण रोके रखने की रणनीति के रूप में वर्णित करती है.
समय पर अपडेट भेजते रहने के लिए, GrapheneOS ने एक ऐसे निर्माता के साथ साझेदारी कर ली है, जिसे नए सिस्टम के तहत Google से सीधे पैच मिलते हैं. यह व्यावहारिक रास्ता है, और साथ ही यह दिखाता है कि अब पहुंच खुले दस्तावेजों के बजाय औपचारिक समझौतों पर कहीं अधिक निर्भर हो गई है.