Android-oppdateringer bak NDA: Googles nye linje for sårbarhetsdeling

Google har gjort om på hvordan selskapet offentliggjør sårbarheter og distribuerer sikkerhetsoppdateringer for Android. Heretter går oppdateringene først kun til maskinvareprodusenter (OEM-er) som signerer en taushetserklæring (NDA).

Etter de nye reglene kan kildekoden til feilrettingene holdes tilbake i inntil tre måneder etter at en oppdatering er mottatt. I denne perioden kan leverandører bare sende ut binære bygg med rettingene, uten å avsløre tekniske detaljer. I praksis bremser dette den vante rytmen av åpenhet og flytter det tidlige innsynet til en liten krets av partnere.

Tidligere publiserte Google fullstendige sårbarhetsrapporter sammen med de månedlige Android Security-bulletinene. For eksempel rommet september 2025-oversikten 114 identifiserte problemer, mens oktoberoppdateringen utelot beskrivelsene fullstendig. Kontrasten er vanskelig å overse.

Endringen ble først fanget opp av teamet bak GrapheneOS, den uavhengige, personvernrettede Android-distribusjonen. Prosjektet mener den nye linjen vil gjøre det vanskeligere for uavhengige sikkerhetsforskere og utviklere av tilpassede ROM-er, som er avhengige av rask tilgang til tekniske data for å kunne reagere raskt.

Google på sin side opplyser at den midlertidige begrensningen skal styrke den helhetlige sikkerheten ved å hindre angripere i raskt å analysere rettingene og utnytte sårbarheter før offisielle oppdateringer er på plass. Selskapet beskriver tilnærmingen som en «security-through-obscurity»-strategi, altså å holde tilbake detaljer til rettingene er bredt rullet ut.

For å kunne sende ut oppdateringer i tide har GrapheneOS allerede inngått et samarbeid med en produsent som får rettinger direkte fra Google under det nye systemet. Det er en pragmatisk omvei som samtidig tydeliggjør at tilgangen nå i større grad avhenger av formelle avtaler enn av åpen dokumentasjon.