O Google muda a estratégia do Android: chega de patches mensais, apenas correções baseadas em risco. - Against Invaders - Notícias de CyberSecurity para humanos.

Redazione RHC:17 Setembro 2025 10:46

Pesquise no Google mudou sua estratégia de atualização de segurança do Android, quebrando sua tradição de divulgar vulnerabilidades mensalmente pela primeira vez em uma década. Em seu boletim de julho de 2025, a empresa não relatou uma única vulnerabilidade, pela primeira vez em 120 publicações. Mas em setembro, a lista incluía 119 correções de uma só vez.

A razão não é essa Julho foi “seguro”, mas isso O Google está mudando para um novo modelo de Sistema de Atualização Baseado em Risco (RBUS). Agora, as atualizações mensais conterão apenas correções para vulnerabilidades de “alto risco”, ou seja, aqueles ativamente explorados ou parte de cadeias de ataque conhecidas. As vulnerabilidades restantes serão agrupadas em grandes lançamentos trimestrais: em março, junho, setembro e dezembro.

A empresa enfatiza que Essa abordagem simplificará o trabalho dos fabricantes de smartphones. Eles terão que integrar menos patches em atualizações mensais, o que aumentará a probabilidade de sua liberação oportuna. Ao mesmo tempo, os fabricantes poderão se concentrar em atualizações trimestrais maiores, que se tornarão o principal canal de distribuição da maioria das correções.

O Google enfatiza que Anteriormente, muitas empresas limitavam as atualizações de segurança a uma cadência bimestral ou trimestral, especialmente para modelos mais baratos. O novo cronograma deve ajudar implantação uniforme e garantir que os dispositivos sejam protegidos pelo menos trimestralmente.

O ciclo tradicional de gerenciamento de vulnerabilidades permanece o mesmo. Os pesquisadores relatam problemas descobertos, o Google os confirma e atribui identificadores CVE. Os engenheiros então desenvolvem uma correção e, se a vulnerabilidade for crítica e afetar os componentes do Project Mainline, a atualização poderá ser distribuída diretamente por meio de Atualização do sistema do Google Play.

O Boletim de segurança do Android, disponível nas versões pública e fechada, continua a ser um elemento-chave. O boletim fechado é enviado aos fornecedores 30 dias antes da publicação para dar a eles tempo de testar os patches. Esse período agora será mais longo para lançamentos trimestrais, levantando preocupações entre os desenvolvedores terceirizados.

Portanto GrapheneOS Os representantes alertam: Quanto maior o intervalo entre a distribuição e a publicação, maior o risco de vazamento de informações sobre vulnerabilidades que podem ser exploradas por invasores. Embora, por enquanto, isso continue sendo uma ameaça hipotética.

Outra desvantagem do novo processo é que O código-fonte do patch agora é publicado apenas para atualizações trimestrais. Isso complica ainda mais as coisas para a comunidade de ROM personalizada, que não poderá mais incluir patches mensais em tempo hábil.

Apesar das mudanças, o Google garante que os usuários cujos dispositivos já recebem atualizações mensais continuarão a recebê-las. Para outros, a mudança para o RBUS deve melhorar a previsibilidade e a frequência das atualizações. “O Android e o Pixel corrigem vulnerabilidades mensalmente, mas sempre priorizamos as mais arriscadas” disse um porta-voz da empresa.