In een poging om Android veiliger te maken, startte Google eind 2015 met het uitbrengen van maandelijkse beveiligingsupdates. Een broodnodige actie, die echter moeizaam op gang kwam door tegenstribbelende smartphonefabrikanten. Drie jaar later zijn de updates niet meer weg te denken, en dat is vooral te danken aan Google.
Lees verder na de advertentie.
De geschiedenis van beveiligingsupdates
Ken je Stagefright nog? Dit lek dateert van drie jaar geleden, en liet hackers misbruik maken van een ernstige fout (bug) in oudere Android-versies. Ruim 950 miljoen apparaten, voornamelijk smartphones en tablets, waren kwetsbaar en moesten geĂĽpdatet worden. Google en toestelfabrikanten hadden maanden nodig om het lek te dichten, waarna het nog eens weken tot maanden duurde voordat het merendeel van de toestellen de benodigde software-update kreeg.
Het Stagefright-lek maakte pijnlijk duidelijk hoe onveilig Android was, en hoe lang het duurde om een belangrijke beveiligingsupdate uit te rollen naar getroffen apparaten. Google richtte daarom een team op om kleinere en grote bugs te ontdekken en dichten. Opgeloste kwetsbaarheden zouden eens per maand gecombineerd worden tot Ă©Ă©n beveiligingsupdate, die Google beschikbaar stelde voor Nexus-apparaten en fabrikanten van Android-toestellen.
Het initiatief werd toegejuicht door onder andere beveiligingsexperts, maar na een jaar heerste er vooral scepticisme. Google bracht inderdaad elke maand een update uit voor de Nexus-apparaten en nieuwe Pixel en Pixel XL, maar de meeste andere merken leken de beveiligingspatches te negeren. Hoewel de fabrikanten claimden dat de veiligheid van hun toestellen de hoogste prioriteit had, werden maar weinig smartphones en tablets daadwerkelijk geĂĽpdatet.
De meeste toestelmakers lieten doorschemeren dat de updatefrequentie van Google te hoog was, dat het financieel onmogelijk was om alle apparaten regelmatig te updaten en dat de meeste consumenten weinig gaven om beveiligingsupdates. Dit tot frustratie van klanten die de patches – terecht – wĂ©l belangrijk vonden.
Google maakte beveiligingsupdates belangrijker
Google was ook niet blij: op deze manier leek de beveiligingsupdate een stille dood te sterven. Om dat te voorkomen, maakte de Android-maker de maandelijkse beveiligingsupdates via diverse initiatieven belangrijker. De updates kregen meer publieke aandacht en werden onderdeel van softwareprogramma’s.
Het Android One-programma ging bijvoorbeeld op de schop. Het initiatief begon in 2014 voor budgetsmartphones, maar ging zich een paar jaar later focussen op midrange- en high end-telefoons.
In het contract werd toegevoegd dat het merk ook twee grote Android-updates uitbrengt Ă©n drie jaar lang elke maand een beveiligingspatch beschikbaar moet stellen. Google neemt de ontwikkeling van de software-updates voor zijn rekening, waardoor het voor fabrikanten aantrekkelijk is om Android One te gebruiken.
Android One-smartphone krijgt maandelijks updates
De afgelopen jaren is het assortiment Android One-toestellen dan ook fors uitgebreid. Populaire merken als Xiaomi, Motorola, Nokia verkopen toestellen, net als LG, General Mobile en HTC. Wie een Android One-telefoon koopt, is verzekerd van stock-Android en een duidelijk updatebeleid.
Pixel-serie: drie jaar updates
Je kan in plaats van een Android One-smartphone ook een Pixel-toestel kopen. De Pixel-reeks is van Google zelf en lijkt qua softwarebeleid op het Android One-programma. Een Pixel-toestel draait stock-Android en krijgt minimaal drie jaar maandelijks beveiligingsupdates. Zodra Google een update uitbrengt, is hij direct te downloaden op Pixel-telefoons. Overigens krijgt een Pixel drie grote Android-updates, in plaats van de twee bij een Android One-model.
Met een Pixel-smartphone weet je zeker dat je lange en regelmatige software-ondersteuning krijgt. Google verkoopt de toestellen echter niet in Nederland, waardoor je bent aangewezen op derde partijen als je bijvoorbeeld een Pixel 3 XL wil kopen.
Android Enterprise Recommended
Fabrikanten die niet meedoen aan het Android One-programma, kunnen zich ook op andere manieren onderscheiden. Zo introduceerde Google in februari Android Enterprise Recommended, een programma dat smartphones voor zakelijk gebruik uitlicht. Een telefoonmaker die zijn toestel wil laten opnemen in dit programma, tekent een contract met Google.
EĂ©n van de voorwaarden is dat het merk minimaal drie jaar lang binnen negentig dagen beveiligingsupdates uitbrengt. Onder andere Huawei, BlackBerry, Motorola en Sony bieden gecertificeerde toestellen aan. Zogeheten ‘bouwvakkertelefoons’, van bijvoorbeeld Dolphin en Sonim, worden zelfs vijf jaar jaar lang op deze manier geĂĽpdatet.
Lees ook: 4 vragen beantwoord over Android Enterprise Recommended
Samsung heeft in oktober een eigen Enterprise Edition-programma gelanceerd. Daar doen op moment van schrijven de Galaxy S8, A8 en S9 aan mee. De speciale zakelijke versies van de smartphones krijgen tot minimaal vier jaar na de release software-updates. De eerste drie jaar maandelijks, het vierde jaar elk kwartaal. Het gaat zowel om Android-updates als beveiligingspatches.
Beveiligingsupdates verplichten in Android-contract
Eerder dit jaar zette Google de grootste stap tot dusver om beveiligingsupdates naar meer smartphones en tablets te brengen. Elke fabrikant die Android met Google-apps als Gmail en Foto’s wil installeren op zijn toestel, moet akkoord gaan met Googles voorwaarden. Bijna alle merken hebben dit contract getekend, zo is te lezen op de Android-website. Dit jaar breidde Google het contract uit met voorwaarden over beveiligingsupdates als het apparaat meer dan honderdduizend gebruikers heeft.
In dat geval moet een elektronicamaker zijn apparaat minimaal twee jaar lang ondersteunen met beveiligingsupdates. In het eerste jaar na de lancering van het product dienen er minimaal vier updates uit te komen, in het tweede jaar is er geen minimum aantal. Een toestel moet aan het einde van de maand wel beschermd zijn tegen lekken die meer dan drie maanden oud zijn. Fabrikanten moeten daarom in het tweede jaar minimaal eens per kwartaal een beveiligingsupdate uit te brengen.
Vanaf 31 januari 2019 moeten alle Android-apparaten aan deze twee eisen voldoen. Lukt het een merk niet om zijn toestellen op tijd te updaten, dan hoeft Google toekomstige modellen niet te certificeren.
Dat is slecht nieuws voor een fabrikant, want dan mogen de Play Store en alle Google-apps niet op het toestel staan. Omdat bijna alle smartphone- en tabletmerken een contract hebben met Google, worden volgend jaar – als het goed is – praktisch alle toestellen met regelmaat geĂĽpdatet.
Hoe belangrijk vind jij beveiligingsupdates? En vind je dat jouw smartphone vaak en lang genoeg updates krijgt? Laat het weten in de reacties!
