Google ha modificato la sua strategia di aggiornamento della sicurezza Android, interrompendo per la prima volta in un decennio la sua tradizione di divulgare mensilmente le vulnerabilità. Nel bollettino di luglio 2025, l’azienda non ha segnalato una singola vulnerabilità, per la prima volta in 120 pubblicazioni. Ma a settembre, l’elenco includeva 119 correzioni contemporaneamente.

Il motivo non è che luglio fosse “sicuro”, ma che Google sta passando a un nuovo modello di sistema di aggiornamento basato sul rischio (RBUS). Ora, gli aggiornamenti mensili conterranno solo correzioni per le vulnerabilità “ad alto rischio”, ovvero quelle attivamente sfruttate o che fanno parte di catene di attacco note. Le vulnerabilità rimanenti saranno raggruppate in importanti rilasci trimestrali: a marzo, giugno, settembre e dicembre.

L’azienda sottolinea che questo approccio semplificherà il lavoro dei produttori di smartphone. Dovranno integrare meno patch negli aggiornamenti mensili, il che aumenterà la probabilità di una loro pubblicazione tempestiva. Allo stesso tempo, i produttori potranno concentrarsi su aggiornamenti trimestrali più consistenti, che diventeranno il canale principale per la distribuzione della maggior parte delle correzioni.

Google sottolinea che in precedenza molte aziende limitavano gli aggiornamenti di sicurezza a una cadenza bimestrale o trimestrale, soprattutto per i modelli più economici. La nuova programmazione dovrebbe contribuire a uniformare la distribuzione e garantire che i dispositivi siano protetti almeno trimestralmente.

Il ciclo tradizionale di gestione delle vulnerabilità rimane lo stesso. I ricercatori segnalano i problemi scoperti, Google li conferma e assegna loro degli identificatori CVE. Gli ingegneri sviluppano quindi una soluzione e, se la vulnerabilità è critica e interessa componenti di Project Mainline, l’aggiornamento può essere distribuito direttamente tramite Google Play System Update.

L’Android Security Bulletin, disponibile sia in versione pubblica che in versione chiusa, rimane un elemento chiave. Il bollettino chiuso viene inviato ai fornitori 30 giorni prima della pubblicazione per dare loro il tempo di testare le patch. Questo periodo sarà ora più lungo per le release trimestrali, sollevando preoccupazioni tra gli sviluppatori di terze parti.

Pertanto, i rappresentanti di GrapheneOS avvertono: più lungo è l’intervallo tra distribuzione e pubblicazione, maggiore è il rischio di fuga di informazioni su vulnerabilità che possono essere sfruttate da aggressori. Anche se per ora questa rimane una minaccia ipotetica.

Un altro svantaggio del nuovo processo è che il codice sorgente delle patch viene ora pubblicato solo per gli aggiornamenti trimestrali. Questo complica ulteriormente le cose per la community delle ROM personalizzate, che non sarà più in grado di includere tempestivamente le patch mensili.

Nonostante i cambiamenti, Google assicura che gli utenti i cui dispositivi ricevono già aggiornamenti mensili continueranno a riceverli. Per altri, il passaggio a RBUS dovrebbe migliorare la prevedibilità e la frequenza degli aggiornamenti. “Android e Pixel risolvono le vulnerabilità mensilmente, ma diamo sempre priorità a quelle più rischiose”, ha dichiarato un portavoce dell’azienda.

L'articolo Google cambia la strategia Android: basta patch mensili, solo fix basate sul rischio proviene da il blog della sicurezza informatica.