За последние десять лет Google последовательно публиковал ежемесячные бюллетени Android Security Bulletin, подробно информируя о найденных уязвимостях и способах их устранения. Эти отчёты охватывали широкий спектр уязвимостей, от незначительных до критических. Однако в июле 2025 года произошёл неожиданный поворот в практиках компании: впервые за десятилетие официальные данные не содержали ни одной уязвимости. Казалось, что Google полностью остановил публикацию потенциальных угроз, но на самом деле это свидетельствовало о фундаментальном изменении стратегии в сфере безопасности и обновлений ОС Android - переходе на подход, называемый Risk-Based Update System (RBUS). Главная идея новой политики - выделение наиболее критичных и опасных уязвимостей, требующих немедленного устранения, и перенос остальных исправлений в более крупные, но менее частые выпуски обновлений.
В результате Android перестал совмещать все найденные уязвимости в ежемесячном бюллетене безопасности и стал выпускать лишь те из них, которые представляют непосредственную угрозу пользователям. Остальные ошибки исправляются в квартальных сводках, позволяя производителям устройств сосредоточиться на приоритетных задачах и эффективнее управлять процессом обновлений. В течение многих лет Google внедрял технологические инструменты, способствующие защите Android. Среди них - программирование критичных компонентов на безопасных в плане управления памятью языках, таких как Rust, а также применение аппаратных механизмов защиты, таких как контроль целостности потока управления и маркировка памяти. С этими мерами обеспечивается фундаментальная устойчивость платформы к эксплуатации уязвимостей.
Внедрение инициативы Project Mainline позволило модернизировать систему модульных обновлений, давая возможность Google напрямую рассылать патчи через Google Play System Update без ожидания адаптации от производителей. Несмотря на все эти успехи, платформа по-прежнему остается репрезентативно крупной и сложной, поэтому поиск новых уязвимостей продолжается, а их устранение - процесс постоянный. В прежней модели работы в рамках Android Security Bulletin компания Google предоставляла два вида отчётов: публичный, доступный всем пользователям, и приватный, который получает ограниченный круг производителей и партнеров примерно за месяц до официального анонса. За этот месяц производители получали возможность внедрить патчи, осуществить тестирование и подготовить более безопасные обновления для своих устройств. Одним из главных вызовов для экосистемы Android было распространение обновлений.
Из-за разветвленных цепочек производства, необходимости адаптации и согласования с операторами связи многие устройства оставались без актуальной защиты. Особенно это касалось бюджетных и среднеценовых моделей, получающих обновления реже, например раз в два или три месяца. Чтобы решить проблему нехватки регулярных обновлений и повысить качество всей системы, Google решила оптимизировать процесс, внедрив Risk-Based Update System. Особенность этого подхода в том, что приоритетом становятся уязвимости с реальными активными эксплойтами или потенциальной опасностью для пользователей. Только о таких уязвимостях сообщается в текущем месячном бюллетене.
Остальные исправления накапливаются и выходят квартально, что позволяет производителям сосредоточиться на минимизации риска и оптимизации рабочих процессов. Внедрение Risk-Based Update System даёт серьезные преимущества для производителей устройств. Сокращается количество обновлений, которые надо оперативно внедрять и тестировать, уменьшается давление сроков выпуска, что в свою очередь может повысить частоту и качество выпуска обновлений для большего числа устройств. Дополнительная гибкость даёт возможность уделить больше внимания комплексным квартальным обновлениям, которые включают значительный объём исправлений и оказывают более серьёзное влияние на безопасность всей платформы. Все это способствует тому, что пользователи реже сталкиваются с проблемой отсутствия защиты от известных угроз.
При этом некоторые бюллетени могут не содержать вообще активных патчей, как это случилось в июле 2025 года. Тем не менее производители могут самостоятельно выпускать свои собственные обновления, закрывающие уязвимости, которые в новом формате Google не обнародует. Главное условие - не разглашать публично технические детали. Наряду с плюсами RBUS возникают и определённые потенциальные риски. Удлинение периода между выявлением и публичной публикацией уязвимостей может дать злоумышленникам дополнительное время на разработку эксплойтов в случае утечки информации.
Несмотря на то, что приватный бюллетень безопасности ограничен в доступе, его получают тысячи инженеров со стороны разных компаний, что потенциально повышает шансы на попадание информации в руки злоумышленников. Также стоит отметить, что Google перестал выпускать исходный код для ежемесячных обновлений, предоставляя его только для квартальных. Для сообществ, занимающихся разработкой пользовательских прошивок и кастомизаций, это создаёт новые ограничения и усложняет выпуск своевременных обновлений. Для конечных пользователей на практике изменения почти незаметны, особенно для тех, кто изначально получал регулярные обновления. Для остальных пользователей новая система может оказаться полезной, поскольку снижает нагрузку на производителей и потенциально увеличивает частоту выпуска обновлений.
Крупные и важные патчи, выходящие квартально, становятся более содержательными и масштабными. Новая стратегия Google направлена на то, чтобы сделать экосистему Android более защищённой и устойчивой к современным угрозам, учитывая реалии масштабной фрагментации платформы и сложностей с распространением обновлений. В долгосрочной перспективе переход на Risk-Based Update System должен повысить безопасность миллионов устройств по всему миру, упростить жизнь производителям и улучшить качество обслуживания пользователей. Однако для достижения наилучших результатов потребуется синергия всех участников экосистемы - от Google и производителей до операторов и самих пользователей. Необходимо продолжать инвестировать в новые технологии защиты, улучшать процессы разработки и своевременно внедрять патчи.
В итоге можно ожидать, что Android укрепит свои позиции как безопасная и надежная мобильная платформа, соответствующая требованиям современного цифрового мира и готовая к борьбе с новыми вызовами кибербезопасности. .
![Coding Outrun for the Amiga the Long Road [Chapter 1]](/images/F412E222-1566-4BBB-8CAB-DE82CD197B3E)
