Google решил всерьез взяться за безопасность своей мобильной операционной системы. Поисковый гигант откажет в сертификации производителям телефонов, которые не будут длительное время выпускать патчи для устройств.
По патчу в квартал
Google разрабатывает новый шаблон договоров с оригинальными производителями оборудования. В нем будет добавлено новое условие: все устройства, проданные после 31 января 2018 года и активированные как минимум у 100 тыс. пользователей, должны в течение двух лет своевременно получать обновления безопасности для Android.
В первый год производителю необходимо выпустить не менее четырех патчей, устраняющих уязвимости системы. Условия для второго года пока в черновой версии договора не указаны. Максимально допустимая задержка обновления смартфона – 90 дней.
Компании, проигнорировавшие требования поискового гиганта, не смогут пройти сертификацию Google. Без этого они потеряют возможность предоставлять пользователям услуги магазина Google Play, устанавливать стандартные приложения поискового гиганта и задействовать другие особенности Android, принадлежащие корпорации (карты, голосовой помощник, почта Gmail и т.д.).
В Google недовольны
Безопасность Android-устройств давно волнует как разработчиков операционной системы, так и независимых экспертов. Инженеры Google регулярно выпускают обновления, устраняющие уязвимости, но они доходят до конечных пользователей с большой задержкой. Более того, зачастую производители телефонов и вовсе игнорируют новые патчи, заставляя своих клиентов пользоваться устаревшей и небезопасной версией ОС.
Сейчас Samsung – это единственная компания, которая регулярно предлагает свежие обновления для своих смартфонов. Но даже она выпускает заплатки выборочно и не для всех устройств.
О своем желании решить проблему нерасторопных производителей Google сообщила еще весной этого года на I/O Developer Conference. Тогда представители поискового гиганта заявили, что намерены ужесточить требования для вендоров по выпуску обновлений безопасности.
Видимость работы
Исследователи безопасности Карстен Нол и Якоб Лелл из Security Research Labs обнаружили, что многие производители смартфонов выпускают патчи-плацебо, которые на самом деле не устраняют баги Android. В докладе, представленном весной этого года, эксперты обвинили в подобных действиях Samsung, Xiaomi, OnePlus, Sony, HTC, LG, ZTE и Huawei.
Цепочка, которую проходят обновления до установки на телефон
Специалисты в течение двух лет детально анализировали каждое обновление, которое получили мобильные телефоны разных вендоров. Всего в исследовании было изучено более 1200 смартфонов. Эксперты установили, что по каким-то причинам официальные патчи, которые производители должны адаптировать под свои устройства, не доходят до конечного пользователя. Любопытно, что такие инциденты замечены даже у Pixel, телефона от Google. Производители при этом сообщают, что установленное «обновление» решает проблемы, устраняет баги и уязвимости.
«Иногда эти ребята просто изменяют дату, не устанавливая никаких патчей. Видимо, дело в маркетинге, они просто ставят уровень обновлений на произвольную дату, которая выглядит лучше всего», – прокомментировали свое открытие исследователи.
В конце своей работы эксперты подвели итог, сколько обновлений пропустили наиболее крупные производители смартфонов.
-
0-1 пропущенных патчей: Google, Sony, Samsung, Wiko Mobile;
-
1-3 пропущенных патчей: Xiaomi, OnePlus, Nokia;
-
3-4 пропущенных пата: HTC, Huawei, LG, Motorola;
-
5 и более пропущенных патчей: TCL, ZTE.