https://pepelac.news/it/posts/id5160-android-google-cambia-le-regole-patch-sotto-nda-e-ritardi

Android: Google cambia le regole, patch sotto NDA e ritardi

Nuova politica di Google: vulnerabilità Android sotto NDA per 3 mesi

Android: Google cambia le regole, patch sotto NDA e ritardi

Google cambia disclosure di Android: patch di sicurezza agli OEM sotto NDA e dettagli delle vulnerabilità rinviati fino a 3 mesi. GrapheneOS critica la mossa.

2025-10-13T23:06:30+03:00

Google riscrive le regole su come divulga le vulnerabilità e distribuisce le patch di sicurezza per Android. D'ora in poi gli aggiornamenti di sicurezza saranno inizialmente inviati solo ai produttori hardware (OEM) che firmano un accordo di riservatezza (NDA). Una virata netta, pensata per ridisegnare il flusso di informazioni.Con le nuove disposizioni, il codice sorgente delle correzioni può non essere pubblicato fino a tre mesi dopo la ricezione dell'update. In quella finestra i vendor possono fornire soltanto build binarie con le patch, senza dettagli tecnici. Ne consegue un rallentamento della trasparenza abituale e una visibilità anticipata ristretta a pochi partner.In passato Google accompagnava i bollettini mensili di sicurezza Android con report completi sulle vulnerabilità. A titolo di esempio, l'elenco di settembre 2025 conteneva 114 problemi identificati, mentre nell'aggiornamento di ottobre le descrizioni sono state omesse del tutto. La differenza è evidente.A notare per primi la svolta sono stati gli sviluppatori di GrapheneOS, la distribuzione indipendente di Android orientata alla privacy. Il progetto sostiene che la nuova politica renderà più complicato il lavoro dei ricercatori di sicurezza indipendenti e degli sviluppatori di ROM personalizzate, che fanno affidamento su dati tecnici puntuali per reagire in fretta.Google, dal canto suo, afferma che la limitazione temporanea mira ad alzare il livello complessivo di sicurezza, impedendo agli aggressori di analizzare rapidamente le patch e sfruttare le falle prima che arrivino gli aggiornamenti ufficiali. L'azienda inquadra l'approccio come una forma di sicurezza ottenuta tramite l'oscuramento dei dettagli, con la pubblicazione rimandata fino a quando le correzioni non sono ampiamente distribuite.Per continuare a rilasciare aggiornamenti tempestivi, GrapheneOS ha già stretto una partnership con un produttore che riceve le patch direttamente da Google nel nuovo sistema. Una soluzione pragmatica, che però mette in luce come l'accesso ora dipenda soprattutto da accordi formali più che da documentazione aperta.

Google, Android, patch di sicurezza, vulnerabilità, NDA, OEM, GrapheneOS, codice sorgente, aggiornamenti Android, trasparenza, ROM personalizzate, ricercatori di sicurezza

2025

Danny Weber

news

Nuova politica di Google: vulnerabilità Android sotto NDA per 3 mesi

Google cambia disclosure di Android: patch di sicurezza agli OEM sotto NDA e dettagli delle vulnerabilità rinviati fino a 3 mesi. GrapheneOS critica la mossa.

Danny Weber, Editor

23:06 13-10-2025

Con le nuove disposizioni, il codice sorgente delle correzioni può non essere pubblicato fino a tre mesi dopo la ricezione dell'update. In quella finestra i vendor possono fornire soltanto build binarie con le patch, senza dettagli tecnici. Ne consegue un rallentamento della trasparenza abituale e una visibilità anticipata ristretta a pochi partner.

In passato Google accompagnava i bollettini mensili di sicurezza Android con report completi sulle vulnerabilità. A titolo di esempio, l'elenco di settembre 2025 conteneva 114 problemi identificati, mentre nell'aggiornamento di ottobre le descrizioni sono state omesse del tutto. La differenza è evidente.

A notare per primi la svolta sono stati gli sviluppatori di GrapheneOS, la distribuzione indipendente di Android orientata alla privacy. Il progetto sostiene che la nuova politica renderà più complicato il lavoro dei ricercatori di sicurezza indipendenti e degli sviluppatori di ROM personalizzate, che fanno affidamento su dati tecnici puntuali per reagire in fretta.

Google, dal canto suo, afferma che la limitazione temporanea mira ad alzare il livello complessivo di sicurezza, impedendo agli aggressori di analizzare rapidamente le patch e sfruttare le falle prima che arrivino gli aggiornamenti ufficiali. L'azienda inquadra l'approccio come una forma di sicurezza ottenuta tramite l'oscuramento dei dettagli, con la pubblicazione rimandata fino a quando le correzioni non sono ampiamente distribuite.

Per continuare a rilasciare aggiornamenti tempestivi, GrapheneOS ha già stretto una partnership con un produttore che riceve le patch direttamente da Google nel nuovo sistema. Una soluzione pragmatica, che però mette in luce come l'accesso ora dipenda soprattutto da accordi formali più che da documentazione aperta.