Danny Weber
23:13 13-10-2025
© B. Naumkin
Google új szabályai szerint az Android-patchek előbb NDA-s OEM-ekhez jutnak, a forráskód akár 3 hónapig titok. Hogyan érinti ez a GrapheneOS-t és kutatókat?
A Google átdolgozta, miként hozza nyilvánosságra a sebezhetőségeket és teríti a biztonsági javításokat Androidon. Mostantól a frissítések először csak azokhoz a hardvergyártókhoz (OEM-ekhez) jutnak el, amelyek titoktartási megállapodást (NDA) írnak alá.
Az új szabályok szerint a javítások forráskódja akár három hónapig sem kerülhet nyilvánosságra azután, hogy egy partner megkapja az update-et. Ebben az időablakban a gyártók kizárólag a patcheket tartalmazó bináris buildet terjeszthetik, a technikai részletek feltárása nélkül. A gyakorlatban ez lelassítja a megszokott átláthatósági ritmust, és a korai rálátást egy szűk partnerkörre korlátozza. A lépés kényes kompromisszumnak tűnik: kevesebb nyilvánosságért cserébe remélt biztonsági nyereség.
Korábban a Google a havi Android Security közleményekkel együtt a teljes sebezhetőségi jelentéseket is nyilvánosságra hozta. Például a 2025. szeptemberi listában 114 azonosított hibát soroltak fel, míg az októberi frissítésben a leírások teljesen hiányoztak. A különbség szembeötlő.
A fordulatot elsőként a GrapheneOS csapata vette észre, a magánszférára fókuszáló, független Android-disztribúció. A projekt úgy véli, az új irány megnehezíti a független biztonsági kutatók és a custom ROM-fejlesztők dolgát, akik gyors reakcióhoz időben közölt technikai adatokra támaszkodnak.
A Google ezzel szemben azt mondja, hogy az ideiglenes korlátozás célja az általános biztonság növelése: így az elkövetők kevésbé tudják gyorsan kielemezni a patcheket, és kihasználni a réseket, mielőtt a hivatalos frissítések megérkeznek. A vállalat az eljárást security-through-obscurity stratégiaként írja le — a hangsúly a részletek visszatartásán van, amíg a javítások széles körben ki nem futnak.
Hogy tartani tudja a gyors frissítési ütemet, a GrapheneOS már meg is kötött egy partnerséget egy olyan gyártóval, amely az új rendszerben közvetlenül a Google-tól kapja a patcheket. Pragmatikus kerülőút, amely ugyanakkor rámutat: a hozzáférés ma már inkább formális megállapodásokon, semmint nyílt dokumentáción múlik.