Компания Google объявила о новом подходе к защите Android-смартфонов, внедрив «Систему обновлений на основе рисков» (Risk-Based Update System, RBUS). Благодаря этой стратегии производители устройств (OEM) получили возможность устанавливать обновления, которые в первую очередь устраняют самые опасные уязвимости, не рискуя безопасностью пользователей.
Об этом сообщает ProIT
Приоритет для критических уязвимостей
Теперь в ежемесячный «Бюллетень по безопасности Android» (ASB) попадают только те уязвимости, которые имеют самый высокий уровень риска — это проблемы, активно используемые злоумышленниками или являющиеся частью известных цепочек эксплойтов. Менее значимые уязвимости теперь фиксируются в квартальных отчетах безопасности Google.
«Отсутствие указаний в бюллетене не означает, что проблем нет: Samsung и Qualcomm в своих июльских бюллетенях упоминали несколько CVE-уязвимостей, а решение о выпуске обновлений остается за OEM-производителями».
Новый график обновлений для производителей
Из-за перехода на RBUS в июльском ASB не было ни одного исправления, а сентябрьский бюллетень уже содержал 119 обновлений. В то же время Samsung и Qualcomm в своих собственных отчетах упомянули несколько уязвимостей, даже когда в общем бюллетене их не отмечали. Теперь OEM-производители самостоятельно решают, когда и какие обновления выпускать, ориентируясь на уровень угрозы.
Большинство исправлений безопасности теперь будет выходить в квартальных обновлениях. Производителям рекомендуется придерживаться именно такого графика для максимальной защиты владельцев устройств. Для рядовых пользователей эти изменения почти незаметны, однако для производителей это упрощает процесс подготовки эффективных обновлений и позволяет быстрее реагировать на самые опасные угрозы.