Todo mês, uma equipe de segurança do Google lança um novo conjunto de patches para o Android. E todos os meses, operadoras e fabricantes lutam para instalá-los nos celulares. É um problema complexo e de longa data. No entanto, os contratos obtidos pela The Verge mostram que muitos fabricantes agora têm obrigações explícitas de manter seus celulares sempre atualizados em contrato com o Google. Assim, o Google exigirá dois anos de atualizações de segurança para o Android em novo contrato com novo celulares.
Novo contrato
Um contrato obtido pela The Verge exige que os fabricantes de dispositivos Android instalem atualizações regularmente para qualquer tablet por pelo menos dois anos. O contrato do Android estipula que eles devem fornecer “pelo menos quatro atualizações de segurança” dentro de um ano após o lançamento do telefone. As atualizações de segurança também são obrigatórias no segundo ano, embora sem um número mínimo específico de lançamentos.
David Kleidermacher, chefe de segurança do Android do Google, fez referência a esses termos no início desse ano durante a palestra do Google I/O. Kleidermacher disse que o Google incluiu uma provisão em seus acordos parceiros para implementar atualizações de segurança “regulares”. Porém, não ficou claro para quais dispositivos eles se aplicariam, com que frequência essas atualizações viriam ou por quanto tempo.
Os termos abrangem qualquer dispositivo lançado após 31 de Janeiro de 2018 e que tenha sido ativado por mais de 100.000 usuários. A partir de 31 de Julho, os requisitos de correções foram aplicados a 75% dos modelos obrigatórios de segurança” de um fabricante. A partir de 31 de Janeiro de 2019, o Google exigirá que os dispositivos recebam essas atualizações.
E os fabricantes?
Os fabricantes precisam corrigir falhas identificadas pelo Google dentro de um prazo específico. No final de cada mês, os dispositivos cobertos devem ser protegidos contra todas as vulnerabilidades identificadas há mais de 90 dias. Assim, mesmo sem um mínimo de atualização anual, essa janela exige que os dispositivos sejam atualizados regularmente.
Além disso, os dispositivos devem ser lançados com esse mesmo nível de cobertura de correção de bugs. Se os fabricantes não mantiverem seus dispositivos atualizados, o Google diz que poderia negar a aprovação de celulares futuros, o que impediria que fossem lançados.
Os termos aparecem no novo contrato de licenciamento do Google para celulares e tablets do Android a serem distribuídos pela União Europeia. Os termos também agregam os aplicativos da empresa, incluindo a importantíssima Play Store. O site The Verge não confirma que o requisito aparece nos termos de licenciamento global do Google. No entanto, o contrato e os comentários públicos do Google indicam que os termos são iguais ou semelhantes em todas as regiões.
Um porta voz do Google apontou para declarações da empresa no início do ano. As declarações chamam as correções de bugs de 90 dias “de um requisito mínimo de higiene de segurança”. Além disso, diz “que a maioria dos dispositivos implantados para mais de 200 modelos Android está executando uma atualização de segurança dos últimos 90 dias.” Eles também apontam para o programa Android One, do Google, que oferece atualizações mensais de segurança por três anos para os aparelhos compatíveis.
Fragmentação é problema
A segurança fragmentada há muito tempo é um problema no Android. Os fabricantes de telefones às vezes ignoram os produtos. Isso ocorre à medida em que envelhecem ou a contagem de uso diminui. Os consumidores raramente tinham certeza de que seu dispositivo receberiam atualizações importantes. Isso faz com que as falhas permaneçam abertas mesmo depois de identificadas.
O Google teve que empurrar as operadoras e fabricantes para resolver o problema nos últimos anos. Versões recentes do Android facilitaram a visualização de como o telefone foi atualizado recentemente. O Android Oreo já facilitou e acelerou a criação de atualizações do sistema operacional.
O Google também usou o programa Enterprise Recommended. Este programa incentiva grandes compradores a escolher telefones mais seguros. Além disso, recompensa os fabricantes que mantêm os telefones atualizados.
Porém, a empresa também pode fazer exigências imediatas de atualizações em seu contrato. Este compromisso contratual com os dispositivos de patch vai muito além. Ele garante, em muitos casos, que os dispositivos permanecerão atualizados.
Os consumidores não têm como saber com certeza se um dispositivo é coberto por este contrato. Contudo, é provável que celulares ou tablets vendidos internacionalmente e em grandes varejistas atinjam a marca de 100.000 vendas. Assim, estão obrigados automaticamente à cobertura regular. Resta saber como ficam os celulares não abrangidos pelo contrato do Google.