Uitleg: dit komt er kijken bij het maken van een beveiligingsupdate
Michel van 't Klaphek

Android-gebruikers klagen steen en been over het gebrek aan beveiligingsupdates: waarom duurt het zo lang? Android Planet neemt je mee in de ingewikkelde wereld achter deze updates.

Android-beveiligingsupdate proces: zo werkt het

Daar waar iPhones tot wel vijf jaar updates krijgen, is de koek bij een gemiddelde Android-smartphone na zo’n twee jaar op. Bovendien is er heel veel verschil in snelheid tussen de verschillende fabrikanten. Maar hoe komt dit? Ze draaien toch allemaal op Android? Die vragen probeer ik in dit artikel te beantwoorden. Het probleem is namelijk niet zo simpel en makkelijk op te lossen als je zou denken.

1. Wie is er verantwoordelijk?

Het Android-besturingssysteem is gigantisch en draait op koelkasten, smartphones, mediaboxen, smartwatches en alles ertussenin. Het systeem is open source en daardoor kan iedereen met de broncode aan de slag.

Dit is aan de ene kant een voordeel gezien de populariteit, maar het levert ook de nodige nadelen op. Google kan bijvoorbeeld niet in de keuken kijken bij fabrikanten als Huawei en Samsung. Dit levert de nodige problemen op als het aankomt op beveiliging.

android-ecosysteem-gigantisch

Wanneer er een fout in het Android-systeem wordt gevonden, moet namelijk eerst worden bekeken wie precies verantwoordelijk is. Dit kan de fabrikant zijn, maar ook een toeleverancier. Een smartphone bestaat uit ontelbaar veel onderdelen, die allemaal op elkaar afgestemd moeten worden omdat ze dienen samen te werken.

Indien hierbij een fout wordt gemaakt is het vaak zoeken naar een speld in een hooiberg, omdat tientallen partijen onderdelen leveren. Zodra duidelijk is waar de fout ligt moet de verantwoordelijke partij het oplossen. In het geval van een toeleverancier worden alle gegevens doorgestuurd naar Google zelf, zodat er rekening mee wordt gehouden in de code van Android.

Dit duurt vaak behoorlijk lang omdat er een hoop testen en uitproberen aan vooraf gaat. Elk klein foutje kan gigantische gevolgen hebben – Android draait op meer dan 2 miljard apparaten – dus Google moet zeker van haar zaak zijn. Zodra de code helemaal foutvrij is, wordt deze doorgestuurd naar alle fabrikanten die Android-apparaten maken.

Lees ook: Achtergrond: waarom Google Android naar zoveel apparaten brengt

2. Fabrikanten aan zet

Zij hebben 30 dagen de tijd om deze foutoplossingen te verwerken in hun software en de eventuele risico’s af te dekken. Na deze periode brengt Google de maandelijkse veiligheidsupdate uit inclusief uitgebreid logboek met wat er is aangepast. Het idee hierachter is dat consumenten zo kunnen controleren of een fabrikant, zoals Samsung of Nokia, veiligheidsrisico’s snel dicht, of niet.

Dit proces duurt zo lang omdat Android op heel veel apparaten draait. Hierdoor is de code van het systeem behoorlijk onoverzichtelijk. Dit kunnen we het best uitleggen aan de hand van een voorbeeld. Stel dat BlackBerry een kritische fout ontdekt in Android, dit rapporteert aan Google en uiteindelijk oplost. De zoekmachinegigant stuurt de update vervolgens door naar alle fabrikanten, waaronder Samsung.

Samsung Galaxy S9 Harman Kardon-actie

Het Zuid-Koreaanse bedrijf moet vervolgens gaan bekijken wat de veranderingen zijn, of dit van toepassing is op haar eigen smartphones en of de oplossing geen andere problemen veroorzaakt. Alhoewel BlackBerry en Samsung beiden op Android draaien, zijn het in werkelijkheid verschillende systemen.

De ene Android is de andere niet

Allebei gebruiken ze namelijk een eigen Android-skin, zodat hun telefoons een eigen look krijgen. Een BlackBerry ziet er daarom anders uit dan een Samsung: verschillende iconen, menu’s zitten niet hetzelfde in elkaar en Samsung hoeft bijvoorbeeld geen rekening te houden met een fysiek toetsenbord, in tegenstelling tot BlackBerry.

Toch krijgen ze dezelfde beveiligingsupdate van Google opgestuurd. Hierdoor duurt het vrij lang voordat een fabrikant duidelijk heeft wat er precies moet gebeuren. Eerst wordt daarom vergeleken tussen de huidige code en die van Google (met daarin foutoplossingen). Wat is er veranderd? Wat voor invloed heeft dit op ons systeem? Zorgt de bugfix niet voor andere problemen? Het zijn zomaar wat vragen die een fabrikant zich moet stellen bij het checken van een Google-veiligheidsupdate.

Bedenk daarnaast dat partijen als Samsung de Google-patch moet aanpassen voor honderden toestellen met verschillende schermresoluties, processors, Android-versies en ga zo maar door.

3. De uitrol

Pas als alle fouten verholpen zijn is het klaar voor de daadwerkelijke uitrol van de beveiligingspatch. Wederom is dit makkelijker gezegd dan gedaan, en worden toestellen daarom in fases geüpdatet. Een beveiligingsupdate ‘weegt’ makkelijk 100MB en als iedereen deze patch gelijktijdig binnenhaalt, kunnen de servers de drukte niet aan. Nadat een fabrikant de update heeft uitgebracht, kan het daarom even duren voordat jij ‘m binnen krijgt.

android p wallpaper

Bovendien controleert de fabrikant van jouw toestel ook nog tijdens de uitrol op fouten. Indien er bijvoorbeeld klachten ontstaan vanuit de eerste groep gebruikers kan het bedrijf de update snel en makkelijk aan banden leggen. Grote problemen worden zo voorkomen. Stel dat een veiligheidsupdate ervoor zorgt dat de accu snel wordt leeggetrokken, dan trekt de verantwoordelijke partij (zoals Google, Nokia of Samsung) de update terug en fixt het probleem.

Ook interessant: Opinie: Wat fabrikanten kunnen leren van HMD en Nokia

4. Hoe je telefoon updatet

Als alles goed verloopt, krijg je de update op je smartphone binnen en kun je hem zonder problemen installeren. Android houdt standaard een gedeelte van je opslag vrij om updates te installeren, zonder dat je persoonlijke bestanden in gevaar komen.

De patch, die bestaat uit een hele hoop bestanden en mapjes, vertelt je telefoon precies wat er bijgewerkt moet worden. Op die manier worden specifieke regels code vervangen, waardoor de update sneller geïnstalleerd wordt. Stel: er zit een fout in de Telefoon-app tijdens het bellen naar servicenummers, dan vervangt je telefoon enkel de betreffende regels script en niet het hele programma.

veiligere play store

Zodra alle bestanden uit de update zijn gecheckt, moet je je smartphone opnieuw opstarten. Dit is nodig omdat sommige Android-onderdelen alleen bijgewerkt kunnen worden wanneer de telefoon niet gebruikt wordt. Zodra je telefoon opnieuw is opgestart, is hij helemaal bijgewerkt.

De oude beveiligingsupdate blijft overigens nog even op je telefoon staan mocht er iets misgaan tijdens het installeren. Zo kun je altijd nog terug naar de vorige versie en het opnieuw proberen. Dat was het dan. Je kunt er nu weer tegenaan, tot de volgende veiligheidspatch natuurlijk.

Hoe snel zijn fabrikanten?

De hamvraag is natuurlijk voor welke fabrikant je moet kiezen als het op veiligheidsupdates aankomt. Welke partij is er als de kippen bij, en wie heeft minder haast?

Google en Nokia zijn de meest betrouwbare partijen qua beveiligingspatches. Beiden updaten hun toestellen maandelijks, zodat je altijd maximaal beschermd bent. Dit is helemaal speciaal in het geval van Nokia, omdat dit bedrijf een hoop toestellen in het budget- en middensegment uitbrengt. Toestellen in deze prijsklassen hebben meestal niet de hoogste prioriteit qua updates.

nokia 7 plus preview

Ook Sony en Samsung geven haar toestellen regelmatig beveiligingsupdates, maar iets minder frequent. Dit geldt met name voor de goedkopere smartphones. Huawei had lange tijd geen goede reputatie als het op veiligheid aankomt, maar heeft haar leven gebeterd.

Hetzelfde verhaal gaat op voor Xiaomi-telefoons die onder het Android One-programma vallen. Motorola is een voorbeeld van een fabrikant die vaak zeer traag is met het uitbrengen van beveiligingsupdates. Meerdere patches worden gebundeld, waardoor je smartphone bijvoorbeeld slechts drie keer per jaar wordt bijgewerkt.

Lees verder over Android One

Google zit niet stil

Zoals je kunt lezen, is het uitbrengen van een veiligheidsupdate een behoorlijke klus. Google is daarom druk bezig om het proces te versnellen en simpeler te maken met Project Treble. Wij maakten eerder de balans op: hoe staat het er nu voor voor met Project Treble in 2018?

Dit is het laatste nieuws over Google

Draag ook bij aan dit artikel

Deel je kennis of stel een vraag. Dat kan anoniem of met een Disqus account.