Google verplicht fabrikanten tot minimaal 2 jaar beveiligingsupdates

Google verplicht fabrikanten tot minimaal 2 jaar beveiligingsupdates

26-10-2018  |  Martijn Kregting  |  Toestellen


Google verplicht smartphone-producenten die Android gebruiken als OS om hun telefoons up-to-date te houden met de nieuwste patches. Dat meldt techwebsite The Verge op basis van vertrouwelijke documenten die het in handen heeft gekregen. Google zou fabrikanten expliciete verplichtingen opleggen om hun nieuwe toestellen minimaal twee jaar te updaten met de maandelijks uitgebrachte patches voor Android. Die contractuele verplichting zou gelden voor elke populaire smartphone en tablet.

Elke maand brengt een beveiligingsteam van Google een nieuwe set patches voor Android uit - en elke maand worstelen carriers en fabrikanten om ze op telefoons te installeren. Het contract van Google met Android-partners bepaalt nu dat ze binnen een jaar na de lancering van de telefoon 'ten minste vier beveiligingsupdates' moeten bieden. Beveiligingsupdates worden ook binnen het tweede jaar verplicht gesteld, echter zonder een bepaald minimumaantal releases.

David Kleidermacher, Google's hoofd van Android-beveiliging, verwees eerder dit jaar al naar deze voorwaarden tijdens ontwikkelaarsconferentie Google I / O. Kleidermacher zei dat Google een bepaling in haar overeenkomsten met partners had toegevoegd om ‘regulier’ beveiligingsupdates uit te rollen. Maar het was toen niet duidelijk op welke apparaten die van toepassing zouden zijn, hoe vaak die updates zouden komen, of voor hoe lang.

Eisen toegepast op 75 procent toestellen

Volgens de vertrouwelijke stukken hebben de voorwaarden betrekking op elk apparaat dat na 31 januari 2018 is gelanceerd en is geactiveerd door meer dan 100.000 gebruikers. Vanaf 31 juli werden deze eisen toegepast op 75 procent van de toestellen waarvoor beveiliging verplicht is. Vanaf 31 januari 2019 vereist Google dat alle beveiligingsplichtige apparaten deze updates ontvangen.

Fabrikanten moeten binnen een bepaald tijdsbestek gebreken identificeren die door Google zijn geïdentificeerd. Aan het einde van elke maand moeten de betrokken apparaten worden beschermd tegen alle kwetsbaarheden die meer dan 90 dagen geleden zijn geïdentificeerd.

Verplicht regelmatig patchen

Dat betekent dat, zelfs zonder een minimaal jaarlijks minimum, dit fabrikanten ertoe verplicht apparaten regelmatig te patchen. Bovendien moeten apparaten starten met hetzelfde niveau van dekking voor bugfixes. Als fabrikanten hun apparaten niet up-to-date houden, dreigt Google ermee dat het zijn goedkeuring voor het gebruik van Android als OS voor  toekomstige telefoons zou kunnen onthouden.

De voorwaarden worden weergegeven in de nieuwe licentieovereenkomst van Google voor Android-telefoons en -tablets die in de Europese Unie moeten worden gedistribueerd. Hierover kwam onlangs ook informatie naar buiten. Daaruit blijkt dat Google geld gaat vragen om Android in licentie te gebruiken. Dat kan oplopen tot EUR 40 voor landen zoals Nederland. Hoewel The Verge niet kan bevestigen dat het beveiligings vereiste wordt vermeld in de algemene licentievoorwaarden van Google, geven het contract en de openbare opmerkingen van Google aan dat de voorwaarden waarschijnlijk in alle regio's hetzelfde of vrijwel hetzelfde zijn.

Probleem gefragmenteerde beveiliging

Gefragmenteerde beveiliging is al lang een probleem voor Android, waar telefoonfabrikanten soms updates voor producten negeren naarmate ze ouder worden of hun gebruik daalt. Consumenten hebben zelden de zekerheid gehad dat hun apparaat tijdig updates zou krijgen.

Google heeft in de afgelopen jaren dragers en fabrikanten moeten pushen om het probleem op te lossen. Recente versies van Android hebben het gemakkelijker gemaakt om te zien hoe recent je telefoon is bijgewerkt. In Android Oreo is het systeem zodanig geherstructureerd dat algemene OS-updates eenvoudiger en sneller konden worden gebouwd.




Laatste Nieuws



0 Reacties
Geef je reactie