Команда разработчиков проекта GrapheneOS, разрабатывающего альтернативную свободную прошивку Android и нацеленную на усиление безопасности и обеспечение конфиденциальности, сообщила об изменении со стороны Google политики публикации исправлений уязвимостей для платформы Android и раскрытия информации об уязвимостях. Отчёт об уязвимостях в Android за октябрь 2025 года в итоге оказался опубликован пустым. В отчёте за сентябрь 2025 года Google опубликовала информацию о 114 уязвимостях в Android.
В Google пояснили, что компания теперь будет предоставлять исправления безопасности для Android исключительно в рамках партнёрства с OEM-производителями по закрытым каналам. Причём это будет происходить только с соглашением о неразглашении, обязующем OEM-производителей не раскрывать третьим лицам исходный код с применением предоставленных патчей на срок три месяца с момента получения. В течение этого времени возможно распространение исключительно бинарных сборок с включением исправления.
По информации OpenNET, исходный код патчей безопасности для Android продолжает выпускаться под открытой лицензией Apache, но на право распространения накладывается временное ограничение через соглашение о неразглашении. Мотивом такого изменения в политике компании является «стремление к повышенной безопасности», отмечаемое как попытка реализации принципа «Безопасность через неясность».
Новые изменения в политике безопасности Google создают сложности для открытых сторонних прошивок, включая проект GrapheneOS. Но в команде этого решения нашли выход из ситуации. У GrapheneOS оказался партнёр среди OEM‑поставщиков, который предоставим для проекта закрытые эмбарго Google патчи до их официального разглашения.
Также в GrapheneOS сообщили, что будут предоставлять два разных канала с релизами — с полностью воспроизводимыми сборками на момент публикаций на основе AOSP, но без закрытых исправлений безопасности, и со сборками с включёнными патчами, воспроизводимый исходный код которых будет опубликован лишь после истечения эмбарго.
Источник: habr.com