Не стоит ждать патчи каждый месяц. Google меняет подход к безопасности Android

Android google обновления уязвимости безопасность
Не стоит ждать патчи каждый месяц. Google меняет подход к безопасности Android
Android google обновления уязвимости безопасность

Новая система обновлений вызывает споры в IT-сообществе.

image

Google изменила стратегию выпуска обновлений безопасности Android, впервые за десятилетие нарушив традицию ежемесячного раскрытия уязвимостей. В июльском бюллетене 2025 года компания не зафиксировала ни одной уязвимости — впервые за 120 публикаций. Но уже в сентябре список включил сразу 119 исправлений.

Причина не в том, что июль оказался «безопасным», а в переходе Google на новую модель Risk-Based Update System (RBUS). Теперь ежемесячные обновления будут содержать только исправления «высокорисковых» уязвимостей — тех, что активно эксплуатируются или являются частью известных цепочек атак. Остальные уязвимости будут объединяться в крупные квартальные релизы — в марте, июне, сентябре и декабре.

Компания отмечает, что такой подход упростит работу производителей смартфонов. Им нужно будет интегрировать меньше патчей в ежемесячные обновления, что повысит вероятность их своевременной публикации. При этом производители смогут сосредоточиться на более крупных квартальных апдейтах, которые станут основным каналом доставки большинства исправлений.

Google напоминает, что ранее многие компании ограничивались выпуском обновлений безопасности раз в два или три месяца, особенно для бюджетных моделей. Новый график должен помочь выровнять ситуацию и обеспечить хотя бы ежеквартальную защиту устройств.

Традиционный цикл работы с уязвимостями остается прежним. Исследователи сообщают об обнаруженных проблемах, Google подтверждает их и присваивает им идентификаторы CVE. Далее инженеры разрабатывают исправление, а в случае если уязвимость критична и затрагивает компоненты из Project Mainline, обновление может доставляться напрямую через Google Play System Update.

Ключевая роль остается за Android Security Bulletin, который существует в публичной и закрытой версиях. Закрытый бюллетень рассылается производителям за 30 дней до публикации, чтобы у них было время протестировать патчи. Теперь же для квартальных релизов этот период будет длиннее, что вызывает вопросы у сторонних разработчиков.

Так, представители GrapheneOS предупреждают: чем больше окно между рассылкой и публикацией, тем выше риск утечки деталей уязвимостей, которыми могут воспользоваться злоумышленники. Хотя пока это остается гипотетической угрозой.

Другой минус нового процесса в том, что исходный код исправлений теперь публикуется только для квартальных обновлений. Это усложняет работу сообществу кастомных прошивок, которые больше не смогут оперативно включать ежемесячные патчи.

Несмотря на изменения, Google заверяет, что пользователи, чьи устройства и так получают ежемесячные апдейты, продолжат их получать. Для остальных переход на RBUS должен повысить предсказуемость и частоту обновлений. «Android и Pixel ежемесячно закрывают уязвимости, но приоритет всегда у самых рискованных», — заявил представитель компании.