https://pepelac.news/nl/posts/id5162-google-wijzigt-android-beveiliging-patches-onder-nda

Google wijzigt Android-beveiliging: patches onder NDA

Google voert NDA in voor Android-patches; broncode 3 maanden dicht

Google wijzigt Android-beveiliging: patches onder NDA

Google past Android-beveiligingsupdates aan: patches eerst naar OEM's onder NDA; broncode blijft 3 maanden dicht. GrapheneOS waarschuwt voor minder openheid.

2025-10-13T23:08:02+03:00

Google heeft de manier waarop het kwetsbaarheden bekendmaakt en beveiligingspatches voor Android verspreidt grondig op de schop genomen. Voortaan gaan beveiligingsupdates eerst uitsluitend naar hardwaremakers (OEM's) die een geheimhoudingsverklaring (NDA) tekenen.Volgens de nieuwe regels mag de broncode van fixes tot drie maanden na ontvangst van een update niet worden gepubliceerd. In die periode mogen leveranciers alleen binaire builds met de patches uitbrengen, zonder technische details prijs te geven. In de praktijk remt dat het gebruikelijke tempo van openheid en blijft vroege inzage beperkt tot een kleine kring partners. Dat maakt het speelveld minder open dan men van Android gewend is.Eerder publiceerde Google volledige kwetsbaarheidsrapporten naast de maandelijkse Android Security-bulletins. Zo telde de lijst van september 2025 114 geïdentificeerde issues, terwijl de oktoberupdate hun beschrijvingen volledig achterwege liet. Het contrast is moeilijk te missen.De koerswijziging werd als eerste opgemerkt door het team achter GrapheneOS, de privacygerichte, onafhankelijke Android-distributie. Het project stelt dat het nieuwe beleid het werk lastiger maakt voor onafhankelijke securityonderzoekers en ontwikkelaars van custom ROM's, die voor snelle reactie juist leunen op tijdige technische gegevens.Google zegt dat de tijdelijke beperking de algehele beveiliging moet verhogen door te voorkomen dat aanvallers patches snel analyseren en kwetsbaarheden misbruiken vóórdat officiële updates beschikbaar zijn. Het bedrijf typeert de aanpak als security-through-obscurity: details worden pas gedeeld zodra fixes breed zijn uitgerold. Het argument is begrijpelijk, maar de balans schuift zo voelbaar richting geslotenheid.Om toch tijdige updates te kunnen leveren, heeft GrapheneOS inmiddels een samenwerking gesloten met een fabrikant die patches onder het nieuwe systeem rechtstreeks van Google ontvangt. Een pragmatische omweg die onderstreept dat toegang nu vooral afhangt van formele afspraken in plaats van open documentatie.

Google, Android, beveiligingsupdates, kwetsbaarheden, patches, NDA, broncode, OEM, GrapheneOS, security-through-obscurity, openheid, custom ROM, onderzoekers, privacy, updatebeleid, Android-beveiliging

2025

Danny Weber

news

Google voert NDA in voor Android-patches; broncode 3 maanden dicht

Google past Android-beveiligingsupdates aan: patches eerst naar OEM's onder NDA; broncode blijft 3 maanden dicht. GrapheneOS waarschuwt voor minder openheid.

Danny Weber, Editor

23:08 13-10-2025

Volgens de nieuwe regels mag de broncode van fixes tot drie maanden na ontvangst van een update niet worden gepubliceerd. In die periode mogen leveranciers alleen binaire builds met de patches uitbrengen, zonder technische details prijs te geven. In de praktijk remt dat het gebruikelijke tempo van openheid en blijft vroege inzage beperkt tot een kleine kring partners. Dat maakt het speelveld minder open dan men van Android gewend is.

Eerder publiceerde Google volledige kwetsbaarheidsrapporten naast de maandelijkse Android Security-bulletins. Zo telde de lijst van september 2025 114 geïdentificeerde issues, terwijl de oktoberupdate hun beschrijvingen volledig achterwege liet. Het contrast is moeilijk te missen.

De koerswijziging werd als eerste opgemerkt door het team achter GrapheneOS, de privacygerichte, onafhankelijke Android-distributie. Het project stelt dat het nieuwe beleid het werk lastiger maakt voor onafhankelijke securityonderzoekers en ontwikkelaars van custom ROM's, die voor snelle reactie juist leunen op tijdige technische gegevens.

Google zegt dat de tijdelijke beperking de algehele beveiliging moet verhogen door te voorkomen dat aanvallers patches snel analyseren en kwetsbaarheden misbruiken vóórdat officiële updates beschikbaar zijn. Het bedrijf typeert de aanpak als security-through-obscurity: details worden pas gedeeld zodra fixes breed zijn uitgerold. Het argument is begrijpelijk, maar de balans schuift zo voelbaar richting geslotenheid.

Om toch tijdige updates te kunnen leveren, heeft GrapheneOS inmiddels een samenwerking gesloten met een fabrikant die patches onder het nieuwe systeem rechtstreeks van Google ontvangt. Een pragmatische omweg die onderstreept dat toegang nu vooral afhangt van formele afspraken in plaats van open documentatie.