Google gör om Android-säkerheten: sårbarhetsdetaljer hålls inne i 3 månader och patchar går först till OEM under NDA. GrapheneOS varnar för sämre transparens.
© B. Naumkin
Google gör om hur bolaget redovisar sårbarheter och distribuerar säkerhetsfixar för Android. Framöver går uppdateringarna i första skedet endast till hårdvarutillverkare (OEM:er) som undertecknar sekretessavtal (NDA). Det markerar en tydlig kursändring.
Enligt de nya villkoren får källkoden till korrigeringarna inte publiceras förrän tre månader efter att en uppdatering tagits emot. Under den perioden får leverantörerna bara släppa binära byggen med patcharna, utan att avslöja tekniska detaljer. I praktiken bromsar det transparensen och begränsar den tidiga insynen till en liten krets av partner.
Tidigare släppte Google fullständiga sårbarhetsrapporter samtidigt med de månatliga Android Security-bulletinerna. I september 2025 listades exempelvis 114 identifierade brister, medan oktoberuppdateringen helt saknade beskrivningar. Kontrasten är svår att missa.
Skiftet uppmärksammades först av teamet bakom GrapheneOS, den integritetsfokuserade fristående Android-distributionen. Projektet anser att den nya inriktningen försvårar arbetet för oberoende säkerhetsforskare och utvecklare av anpassade ROM:ar, som är beroende av snabba tekniska uppgifter för att agera i tid.
Google å sin sida framhåller att den tillfälliga begränsningen ska höja den övergripande säkerheten genom att hindra angripare från att snabbt analysera patchar och utnyttja sårbarheter innan de officiella uppdateringarna når användarna. Bolaget beskriver metoden som ett arbetssätt där detaljer hålls tillbaka tills fixarna är brett utrullade.
För att fortsatt kunna leverera snabba uppdateringar har GrapheneOS redan inlett ett samarbete med en tillverkare som får patchar direkt från Google enligt den nya ordningen. En pragmatisk utväg, men också en påminnelse om att tillgången nu i högre grad vilar på formella avtal snarare än öppen dokumentation.