+33 голоса |
Поддержание безопасности путём регулярных обновлений всегда была злободневной проблемой на Android, поскольку производители телефонов часто пренебрегают поддержкой тех моделей, которые устаревают или пользовательская база которых уменьшается. Подобная практика ведёт к тому, что давно известные уязвимости остаются открытыми для использования в преступных целях.
Со своей стороны, Google постоянно побуждала провайдеров мобильной связи и производителей к устранению этих недостатков. В новых версиях Android стало проще проверять, когда производился последний апгрейд, а в Android Oreo система была перестроена в целях упрощения подготовки обновлений.
Кроме того, Google использует программу Enterprise Recommended, чтобы побуждать покупателей выбирать более безопасные телефоны и вознаграждать производителей за поддержание защиты своих устройств на должном уровне.
Не ограничиваясь этим, Google также вносит требований регулярной установки патчей обязательным пунктом в контракты своих партнёров по экосистеме Android. Один из конфиденциальных контрактов, попавший в руки журналистов Verge, обязывает производителя Android-оборудования обеспечить не менее четырёх апдейтов безопасности в течение первого года после выпуска устройства. Требование регулярной рассылки патчей действует и для второго года эксплуатации продукта, но уже без указания обязательного минимального числа апдейтов.
Дэвид Кляйдермахер (David Kleidermacher), глава безопасности Android в компании Google, упоминал об интеграции в OEM-соглашения таких требований в своей речи на майской конференции Google I/O, но тогда не было понятно к каким устройствам они будут применимы, какова должна быть частота обновлений и продолжительность их предоставления.
Опубликованные Verge условия нового лицензионного соглашения Google обязательны для смартфонов и планшетов на Android, которые распространяются на территории ЕС с предустановленными мобильными приложениями Google, включая Play Store. Патчи должны устанавливаться на каждое устройство, выпущенное после 31 января 2018 г. и активированное более чем 100 тысячами пользователей.
К концу каждого месяца охватываемое соглашением устройство должно быть защищено от всех уязвимостей, обнаруженных за предшествующие 90 дней. Эта же «глубина» защиты должна обеспечиваться и для только что выпущенного продукта. Такое «движущееся окно» гарантирует, что все необходимые исправления устанавливаются на устройство, даже без явного определения количества обязательных патчей в год.
Если производитель не соблюдает правила регулярности апдейтов, Google может отказаться одобрить его будущие телефоны, что может помешать их выпуску.
Хотя Verge не имеет доказательств, что те же условия присутствуют и в глобальных лицензионных соглашениях Google, публичные комментарии компании дают основания считать, что требования регулярности обновления безопасности сходны для всех регионов.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
+33 голоса |