Danny Weber
23:07 13-10-2025
© B. Naumkin
Google przebudowuje proces łatek Androida: aktualizacje bezpieczeństwa trafiają najpierw do OEM pod NDA, a kod źródłowy bywa wstrzymany do 3 miesięcy.
Google przebudowało sposób ujawniania podatności i dystrybucji poprawek zabezpieczeń dla Androida. Od teraz aktualizacje bezpieczeństwa najpierw trafią wyłącznie do producentów sprzętu (OEM), którzy podpiszą umowę o poufności (NDA).
Zgodnie z nowymi zasadami kod źródłowy łatek może nie zostać opublikowany nawet przez trzy miesiące od chwili otrzymania aktualizacji. W tym czasie dostawcy mogą udostępniać wyłącznie binarne kompilacje z poprawkami, bez ujawniania szczegółów technicznych. W praktyce spowalnia to zwyczajowy rytm przejrzystości i ogranicza wczesny wgląd do wąskiego grona partnerów.
Dotąd Google publikowało pełne raporty o podatnościach równolegle z comiesięcznymi biuletynami Android Security. We wrześniu 2025 roku lista obejmowała 114 zidentyfikowanych problemów, podczas gdy październikowa aktualizacja całkowicie pominęła ich opisy. Kontrast trudno przeoczyć.
Zmianę jako pierwsi zauważyli twórcy GrapheneOS, niezależnej dystrybucji Androida skupionej na prywatności. Projekt przekonuje, że nowe zasady utrudnią pracę niezależnym badaczom bezpieczeństwa i deweloperom custom ROM‑ów, którzy polegają na szybkich danych technicznych, by reagować bez zwłoki.
Google z kolei podkreśla, że czasowe ograniczenie ma podnieść ogólny poziom ochrony, uniemożliwiając atakującym szybkie analizowanie łatek i wykorzystywanie luk, zanim oficjalne aktualizacje trafią do szerokiego grona odbiorców. Firma przedstawia to podejście jako strategię security through obscurity, czyli nacisk na wstrzymanie szczegółów do czasu, gdy poprawki zostaną szeroko wdrożone.
Aby utrzymać tempo wydań, GrapheneOS nawiązał już współpracę z producentem, który w nowym systemie otrzymuje poprawki bezpośrednio od Google. To pragmatyczny wybór, ale zarazem znak, że dostęp coraz bardziej zależy od formalnych umów, a nie od otwartej dokumentacji.