Durante dos años, Google ha estado tratando de facilitar que las empresas ejecuten e implementen dispositivos Android confiables a través de su programa Android Enterprise Recommended (AER). Es esencialmente una colección de hardware certificado con ciertas garantías mínimas: deben ser elegibles para la inscripción sin contacto, desbloqueados por el operador y deben recibir actualizaciones de seguridad a más tardar 90 días después del lanzamiento durante un mínimo de tres años. Como informa XDA Developers, este último requisito pronto se relajará significativamente en favor de requisitos de transparencia más nebulosos.

De acuerdo con algunos documentos no finales filtrados, Google está considerando abandonar por completo el requisito de actualización de seguridad de 90 días. En cambio, los fabricantes tienen una nueva regla para trabajar: Transparencia. En sus sitios web, los OEM tienen que publicar la fecha en que su teléfono participante recibirá su última actualización de seguridad y qué parche está disponible actualmente. También tienen que compartir con qué frecuencia lo actualizarán. Lo mismo es cierto para las nuevas versiones de Android: los clientes deben poder saber con qué software se entregó inicialmente el teléfono, en qué versión se encuentra actualmente y qué actualización puede esperar que sea la última.

Sin embargo, el soporte obligatorio de 3 años para las versiones de mantenimiento de seguridad de emergencia (ESMR) permanece activo. Eso significa que las fallas críticas de seguridad deben repararse durante al menos tres años, incluso si el teléfono ya no recibe actualizaciones regulares del sistema.

Eche un vistazo a la tabla filtrada a continuación para ver todos los cambios minúsculos. Si se pregunta por qué dice « actualizaciones de seguridad de 30 días » y no 90 en la sección de Android 10, parece que Google ha actualizado el requisito para ser más riguroso, pero solo ha informado a los fabricantes, no al público en general.

Categoría

Número de serie

DEBE / MAYO

Atributo e Implementación

Comentarios

Q (Android 10)
R (Android 11)
Dispositivo de seguridad
1
MAYO
Operar un Programa de Recompensas de Vulnerabilidad OEM (VRP)
Operar un Programa de Recompensas de Vulnerabilidad OEM (VRP)

2
MAYO
Soporte de StrongBox
Soporte de StrongBox

3
MAYO
Soporte de Keystore respaldado por hardware
Soporte de Keystore respaldado por hardware

4 4
MAYO
Soporte de certificación de ID de dispositivo
Soporte de certificación de ID de dispositivo

5 5
MAYO
Soporte de certificación clave
Soporte de certificación clave

6 6

Actualizaciones de seguridad de 30 días
Requisito eliminado
Reemplazado con el requisito de transparencia de seguridad

7 7
DEBE
Soporte de 3 años para la versión de mantenimiento de seguridad de emergencia (ESMR)
Soporte de 3 años para la versión de mantenimiento de seguridad de emergencia (ESMR)
Reemplazado con el requisito de transparencia de seguridad

8

Cifrado basado en archivos: activado de forma predeterminada. Utiliza la implementación de AOSP.
Requisito eliminado
Este es un requisito GMS impuesto para todos los dispositivos.

9 9

Actualizaciones de seguridad de 90 días
Requisito eliminado
Reemplazado con el requisito de transparencia de seguridad

10

Soporte de actualización de seguridad de 3 años (puede sub ESMR de 3er año)
Requisito eliminado
Reemplazado con el requisito de transparencia de seguridad

11

Publica el último nivel de parche de seguridad
Requisito eliminado
Reemplazado con el requisito de transparencia de seguridad

Encima: Revisión de los requisitos de seguridad del dispositivo. Abajo: Nuevos requisitos de transparencia.

Categoría

Número de serie

DEBE / MAYO

Atributo e Implementación

Comentarios

Q (Android 10)
R (Android 11)
Transparencia de actualizaciones de seguridad / SO
1
DEBE

DEBE publicar la siguiente información de actualizaciones en el sitio web de OEM
– Fecha de finalización de soporte SMR (última fecha cuando el dispositivo recibirá SMR)
– Último parche de seguridad disponible
– Frecuencia de actualizaciones que recibirá el dispositivo
– Correcciones contenidas en el parche de seguridad, incluidas las correcciones específicas de OEM
Cambiar el requisito de compatibilidad con SMR a SMR / parches / actualizaciones de transparencia

2
DEBE

DEBE publicar la siguiente información del sistema operativo en el sitio web del OEM
– Sistema operativo con el que se envía el dispositivo
– Actual versión principal del sistema operativo
– Todas las actualizaciones principales de la versión del sistema operativo que recibirá el dispositivo
Cambiar el requisito de soporte a transparencia
por ejemplo: Pixel 3
– Enviado ver – Android 9
– Ver actual – Android 10
– Versión principal esperada – Android 11

3
DEBE

Envíe el dispositivo a la certificación IoXT
La puntuación IoXT se suma a la transparencia

Tenga en cuenta que estos son solo cambios propuestos. Las nuevas reglas no están talladas en piedra, y Google podría decidir en contra de ellas antes de publicar la próxima versión finalizada de las pautas de AER. También podemos especular sobre por qué Google considera que las reglas sean menos estrictas. Es posible que estos requisitos ahora sean parte del contrato secreto que Google y los fabricantes suscriben cuando desean usar Android. Una vez echamos un vistazo a ese documento en 2018, cuando una filtración mostró que los teléfonos tenían que actualizarse durante al menos dos años. Si ese es el caso, el requisito adicional para el programa AER sería innecesario.

Al final, el requisito de transparencia podría ser beneficioso para todos los propietarios de teléfonos: finalmente podríamos encontrar de manera confiable información actualizada en los sitios web de todos los fabricantes, ayudándonos a juzgar qué teléfonos serán los más seguros y duraderos.