A causa della grande frammentazione delle versioni di Android presenti sugli smartphone, il rilascio di patch di sicurezza da parte dei produttori è difficile. Questo perché ogni singola patch deve essere sviluppata appositamente per le varie versioni di Android.
Google è a conoscenza di questo problema ma crede comunque che alcuni produttori (non tutti fortunatamente) non stiano facendo abbastanza. Per questa ragione, ha voluto ricordare loro i requisiti minimi da rispettare per quanto riguarda le patch di sicurezza.
I produttori di smartphone Android dovrebbero fornire aggiornamenti di sicurezza regolari in anticipo rispetto alla divulgazione coordinata delle vulnerabilità ad alta gravità, pubblicate nei nostri bollettini Android. Poiché la finestra di divulgazione delle vulnerabilità comuni è di 90 giorni, gli aggiornamenti su una frequenza di 90 giorni rappresentano un requisito minimo di sicurezza per la sicurezza.
Google poi si è soffermata anche sul rendere il rilascio degli aggiornamenti più semplice grazie al Project Treble, i cui primi veri effetti si vedranno nell’aggiornamento da Oreo a Pie.
…Un pilastro fondamentale di tale strategia è migliorare la modularità e la chiarezza delle interfacce, consentendo di aggiornare i sottosistemi di Android senza influire negativamente sugli altri. Project Treble è un esempio di questa strategia e sta consentendo ai dispositivi di aggiornarsi ad Android 9 Pie in modo più semplice ed efficiente rispetto a quanto era possibile nelle versioni precedenti.
La strategia di modularità si applica ugualmente bene agli aggiornamenti di sicurezza, poiché un aggiornamento della sicurezza del framework può essere eseguito indipendentemente dai componenti specifici del dispositivo.
Per approfondire la questione, vi rimandiamo sul blog post ufficiale sul sito per sviluppatori di Android.