Google радикально изменила один из ключевых элементов системы безопасности Android — ежемесячный Android Security Bulletin (ASB). Раньше пользователи и производители могли видеть полный список уязвимостей и исправлений каждый месяц, но летом 2024 года многие заметили странность: в июльском отчёте для смартфонов Pixel не было указано ни одной уязвимости, а в сентябрьском — сразу 119. Это не ошибка и не недоразумение, а новая стратегия Google.
Два бюллетеня вместо одного
Публичный бюллетень ASB, который публикуется в первый понедельник месяца, знают все. Но есть и второй, закрытый — он рассылается производителям смартфонов и поставщикам чипов примерно за 30 дней до публичного отчёта. Это позволяет компаниям заранее протестировать исправления и подготовить обновления. Новшество заключается в том, что теперь Google изменила формат публичного отчёта: в нём отражаются только самые опасные уязвимости.
Этот новый подход получил название Risk-Based Update System (RBUS). Теперь ежемесячно будут указываться лишь «высокорисковые» уязвимости, то есть такие, которые уже эксплуатируются злоумышленниками или могут быть объединены с другими дырками в цепочку атак для полного контроля над системой. Именно поэтому июльский бюллетень оказался пустым — просто не было критических угроз, требующих немедленного исправления.
Что это значит для разных моделей смартфонов
Не все Android-устройства получают ежемесячные патчи. Флагманы вроде Google Pixel или Samsung Galaxy обновляются регулярно, но у бюджетных и средних моделей обновления могут приходить раз в квартал, раз в полгода или вовсе прекращаться. Для их владельцев это серьёзный риск: без свежих патчей легко украсть пароли, получить доступ к банковским данным или даже полностью взломать устройство.
Google рассчитывает, что новая система позволит быстрее реагировать на действительно опасные угрозы. Все остальные исправления будут аккумулироваться и выпускаться раз в квартал, что облегчит жизнь производителям и позволит сосредоточиться на главном. В результате возможны месяцы, когда публичный отчёт будет пустым, но это вовсе не означает, что система безопасности заброшена.
Как Google определяет «высокий риск»
Здесь важно понимать, что термин «high risk» не равен прежним категориям «critical» или «high severity». Это новый уровень классификации, завязанный именно на вероятность эксплуатации. Если уязвимость используется «в бою» или может стать частью цепочки эксплойтов, она сразу попадает в список. Все остальные серьёзные баги будут ждать квартального обновления.
Плюсы для производителей
Для производителей смартфонов новая схема означает меньше нервотрёпки с ежемесячными патчами. Теперь у них есть ясный приоритет: устранять критические проблемы сразу, а всё остальное включать в квартальные пакеты. Это также даёт шанс выпускать более качественные и быстрые обновления тогда, когда действительно необходимо.
Пример июля это наглядно показывает. У Pixel патчей безопасности не было, зато вышли два функциональных исправления. У Samsung, напротив, отчёт оказался насыщенным: 17 уязвимостей Samsung Vulnerabilities and Exposures (SVE), плюс дополнительные патчи от Samsung Semiconductor. Подходы разные, но оба завязаны на общей логике Google.
Что это значит для обычных пользователей
Большинство владельцев смартфонов вообще не следят за ASB. Владельцы Pixel ждут скорее ежеквартального Pixel Feature Drop с новыми функциями, чем сухих отчётов о безопасности. Функциональные патчи, исправляющие заметные баги, тоже интереснее для обывателя. Но именно тихие «невидимые» обновления чаще всего спасают ваши данные от хакеров.
Эксперты единодушны: обновления нужно ставить сразу, будь то месячный патч, квартальное или полугодовое обновление. Чем раньше вы их установите, тем меньше шансов у атакующих. В новой системе RBUS это особенно важно — если вышло ежемесячное обновление, значит оно действительно срочное.
Таким образом, экосистема безопасности Android меняется. Google делает акцент на уязвимостях, которые представляют реальную угрозу прямо сейчас, а не на исчерпывающем списке всех найденных багов. Для пользователей главный вывод прост: даже если отчёт «пустой», расслабляться нельзя. Устанавливайте обновления вовремя и помните — молчание в бюллетене ещё не означает, что угрозы исчезли.