Google wreszcie wymusza na producentach telefonów regularne udostępnianie łat bezpieczeństwa

Łatanie systemów to pięta achillesowa środowiska androidowego. Sam Google bezpieczeństwo traktuje poważnie – choć by wypuszczając regularnie co miesiąc kolejną paczkę łat.

Co ciekawe z krytycznych podatności, które pozwalają na wykonanie dowolnego kodu na telefonie (będąc w pobliżu lub przesyłając do ofiary odpowiedni plik multimedialny) – nikt już nie robi wielkiego newsa. Ot dzień jak co dzień. W październikowej aktualizacji czytamy np. w kategorii SYSTEM:

The most severe vulnerability in this section could enable a proximate attacker to execute arbitrary code within the context of a privileged process.

I dalej 2 błędy Critical umożliwiające takie działania:

Oczywiście dostępność łat to jedno, a zaadoptowanie ich przez producentów to inna sprawa. Zazwyczaj bezpieczeństwo = koszt. A oczywiście nikt nie chce ponosić niekoniecznych kosztów…

Google postanowiło niedawno podejść bardziej restrykcyjnie do sprawy i po prostu w stosownych umowach z dostawcami urządzeń bazujących na Androidzie (również telewizory? :) zacznie od stycznia 2019 roku wymuszać udostępnianie łat bezpieczeństwa.

Jak to ma działać? W pierwszym po wypuszczeniu urządzenia, mają to być co najmniej 4 łaty rocznie. Ale co ważniejsze dostępne jest dość małe okno kiedy systemy mogą być „nie w pełni załatane”:

Manufacturers have to patch flaws identified by Google within a specific timeframe. By the end of each month, covered devices must be protected against all vulnerabilities identified more than 90 days ago.

Na razie operacja dotyczy popularniejszych marek (100 000 użytkowników), które wypuściły urządzenie po 1 stycznia 2018 roku.

–ms