Компания Google изменила систему публикации обновлений безопасности Android, введя механизм Risk-Based Update System (RBUS). Новая стратегия ориентирована не на формальную классификацию уязвимостей, а на их фактическую угрозу — теперь приоритет получают только те уязвимости, которые используются хакерами в реальных атаках или входят в известные эксплойт-цепочки. Об этом сообщает Android Authority.
Согласно обновлённому регламенту, в ежемесячный Android Security Bulletin (ASB) теперь включаются только уязвимости, которые Google классифицирует как критические с практической точки зрения — то есть требующие немедленного исправления. При этом уязвимости, обозначенные как «высокие» или «средней тяжести», но не эксплуатируемые на практике, выводятся в отдельные квартальные публикации.
Именно по этой причине в июльском ASB отсутствовали какие-либо обновления, что вызвало недоумение в ИТ-среде.
Но это не означает, что Android в июле не имел уязвимостей. К примеру, компании Samsung и Qualcomm в своих внутренних бюллетенях за тот же период сообщили о множестве исправлений, связанных с уязвимостями, получившими идентификаторы CVE. Теперь производители устройств могут выпускать патчи, даже если в официальной публикации Google отсутствует информация об обновлениях.
Смысл RBUS — упростить работу для производителей смартфонов и сократить избыточную бюрократию при выпуске апдейтов. Если раньше вендорам приходилось отслеживать большой список уязвимостей, вне зависимости от их актуальности, то теперь обновления фокусируются на реально опасных угрозах.
С практической точки зрения для рядовых пользователей Android новая схема обновлений почти не отразится на пользовательском опыте.
Большинство обновлений будут поставляться по прежним каналам, а внешний вид уведомлений и процесс установки останутся привычными. Изменения касаются в первую очередь системного уровня — они делают цикл обновлений для производителей более предсказуемым и снижают вероятность задержек.
При этом компания Google советует OEM-компаниям переходить на ежеквартальный график обновлений, чтобы сохранить высокий уровень защиты. Такой темп позволяет своевременно устранять уязвимости, отражённые в расширенных квартальных отчётах, даже если ежемесячный бюллетень остаётся пустым.