Google обяжет производителей смартфонов обновлять Android в течение двух лет

Google решил всерьез взяться за безопасность своей мобильной операционной системы. Поисковый гигант откажет в сертификации производителям телефонов, которые не будут длительное время выпускать патчи для устройств.

По патчу в квартал

Google разрабатывает новый шаблон договоров с оригинальными производителями оборудования. В нем будет добавлено новое условие: все устройства, проданные после 31 января 2018 года и активированные как минимум у 100 тыс. пользователей, должны в течение двух лет своевременно получать обновления безопасности для Android.

В первый год производителю необходимо выпустить не менее четырех патчей, устраняющих уязвимости системы. Условия для второго года пока в черновой версии договора не указаны. Максимально допустимая задержка обновления смартфона – 90 дней.

Компании, проигнорировавшие требования поискового гиганта, не смогут пройти сертификацию Google. Без этого они потеряют возможность предоставлять пользователям услуги магазина Google Play, устанавливать стандартные приложения поискового гиганта и задействовать другие особенности Android, принадлежащие корпорации (карты, голосовой помощник, почта Gmail и т.д.).

В Google недовольны

Безопасность Android-устройств давно волнует как разработчиков операционной системы, так и независимых экспертов. Инженеры Google регулярно выпускают обновления, устраняющие уязвимости, но они доходят до конечных пользователей с большой задержкой. Более того, зачастую производители телефонов и вовсе игнорируют новые патчи, заставляя своих клиентов пользоваться устаревшей и небезопасной версией ОС.

Сейчас Samsung – это единственная компания, которая регулярно предлагает свежие обновления для своих смартфонов. Но даже она выпускает заплатки выборочно и не для всех устройств.

О своем желании решить проблему нерасторопных производителей Google сообщила еще весной этого года на I/O Developer Conference. Тогда представители поискового гиганта заявили, что намерены ужесточить требования для вендоров по выпуску обновлений безопасности.

Видимость работы

Исследователи безопасности Карстен Нол и Якоб Лелл из Security Research Labs обнаружили, что многие производители смартфонов выпускают патчи-плацебо, которые на самом деле не устраняют баги Android. В докладе, представленном весной этого года, эксперты обвинили в подобных действиях Samsung, Xiaomi, OnePlus, Sony, HTC, LG, ZTE и Huawei.

Цепочка, которую проходят обновления до установки на телефон

Специалисты в течение двух лет детально анализировали каждое обновление, которое получили мобильные телефоны разных вендоров. Всего в исследовании было изучено более 1200 смартфонов. Эксперты установили, что по каким-то причинам официальные патчи, которые производители должны адаптировать под свои устройства, не доходят до конечного пользователя. Любопытно, что такие инциденты замечены даже у Pixel, телефона от Google. Производители при этом сообщают, что установленное «обновление» решает проблемы, устраняет баги и уязвимости.

«Иногда эти ребята просто изменяют дату, не устанавливая никаких патчей. Видимо, дело в маркетинге, они просто ставят уровень обновлений на произвольную дату, которая выглядит лучше всего», – прокомментировали свое открытие исследователи.

В конце своей работы эксперты подвели итог, сколько обновлений пропустили наиболее крупные производители смартфонов.

• 0-1 пропущенных патчей: Google, Sony, Samsung, Wiko Mobile;

• 1-3 пропущенных патчей: Xiaomi, OnePlus, Nokia;

• 3-4 пропущенных пата: HTC, Huawei, LG, Motorola;

• 5 и более пропущенных патчей: TCL, ZTE.