ในทุกๆเดือน ทีมที่รักษาความปลอดภัยระบบของ Google จะปล่อย patch อัพเดทเซ็ทใหม่ๆของระบบปฏิบัติการ Android ออกมา
และ ในทุกเดือนเช่นกัน ที่ทางเครือข่ายโทรศัพท์ และ ทางผู้ผลิตเอง จะต้องนำ patch นั้นๆไปลง เพื่อให้ใช้งานกับอุปกรณ์มือถือให้ได้จริง
ซึ่งเรื่องนี้ เป็นอะไรที่ซับซ้อน และ เป็นปัญหามายาวนาน
ล่าสุด ทางสื่อ The Verge ได้ สัญญาซึ่งปิดเป็นความลับ ซึ่งระบุว่า ทางผู้ผลิตอุปกรณ์มือถือหลายเจ้า ดูจะมีภาระผูกพันที่ชัดเจน ซึ่งมีการระบุในสัญญากับ Google ว่าพวกเค้าจะต้องอัพเดทอุปกรณ์มือถือ
สัญญาที่ The Verge ได้มา ระบุว่า ผู้ผลิตอุปกรณ์ Android นั้นจะต้องทำการลงตัวอัพเดทเป็นประจำ สำหรับทุกๆมือถือและแท็บเล็ต อย่างน้อย 2 ปี และ สัญญาของ Google กับทางพาร์ทเนอร์ระบบ Android ระบุไว้ว่า พวกเค้าต้องจัดให้มีการอัพเดทระบบความปลอดภัย อย่างน้อย 4 ครั้งภายใน 1 ปีที่โทรศัพท์รุ่นนั้นๆเปิดตัว
การอัพเดทระบบความปลอดภัย ได้ระบุเกี่ยวกับการอัพเดทในปีที่ 2 เช่นกัน แต่ไม่มีตัวเลขขั้นต่ำของการอัพเดทกำหนดไว้
ก่อนหน้านี้ David Kleidermacher หัวหน้าของทีมรักษาความปลอดภัยระบบฏิบัติการ Android ของ Google เคยพูดไว้ในงาน Google I/O ว่า ทาง Google ได้ใส่เงื่อนไขไว้ในข้อตกลงระหว่างพาร์ทเนอร์ด้วยกันว่า ให้ทำการออก security update เป็นประจำ แต่ ก็ไม่ระบุลงลึกชัดเจนว่า อุปกรณ์ตัวไหนเข้าข่ายบ้าง? การอัพเดทต้องทำบ่อยแค่ไหน? และ ต้องทำแบบนี้ไปนานแค่ไหน?
ซึ่งเงื่อนไขที่ว่า ครอบคลุมอุปกรณ์ทุกตัวที่เปิดตัวหลัง 31 มกราคม 2018 และมีการ activate จากผู้ใช้งานเกินกว่า 100,000 คน
เงื่อนไข เริ่มต้นบังคับใช้ ตั้งแต่ 31 กรกฎาคม 2018 ซึ่งความต้องการให้มีการลง patch update นั้นมีผลบังคับใช้กับ 75% ของอุปกรณ์รุ่นต่างๆของผู้ผลิต
ส่วนเงื่อนไขที่จะเริ่ม 31 มกราคม 2019 นั้น Google ระบุว่า ต้องการให้อุปกรณ์ต่างๆมีการอัพเดทเป็นประจำ
ทางฝั่งผู้ผลิต จะต้องระบุข้อบกพร่องของ patch update และแจ้งทาง Google ภายในเวลาที่กำหนด โดยทุกสิ้นเดือน อุปกรณ์ที่เข้าเงื่อนไขจะต้องได้รับการป้องกันอย่างดี ไม่ให้ถูกการโจมตีใดๆ โดย ข้อบกพร่อง หรือ ช่องโหว่ ที่เคยตรวจพบมาแล้วของเมื่อ 90 วันที่ผ่านมา
นั่นหมายความว่า ต่อให้ไม่มีกำหนดการอัพเดทขั้นต่ำต่อปี ข้อกำหนดนี้ก็ยังกำหนดชัดเจนว่า อุปกรณ์ต่างๆ จะต้องลง patch อัพเดทเป็นประจำ
นอกจากนี้ อุปกรณ์ต่างๆ ควรออก patch ออกมาให้อยู่ในระดับเดียวกัน (เทียบเท่ากับ) การแก้ไขพวกบั๊กระบบต่างๆ ถ้าเกิดผู้ผลิตรายต่างๆ ไม่ทำการอัพเดทอุปกรณ์ของตัวเองแล้วล่ะก็ ทาง Google อาจจะไม่อนุมัติให้ใช้งานระบบปฏิบัติการกับอุปกรณ์ตัวต่อๆไปในอนาคต ซึ่งก็อาจมีผลให้ออกขายไม่ได้เลย
ข้อตกลง ยังปรากฏอยู่ในเงื่อนไขของใบอนุญาติใหม่ของ Google สำหรับอุปกรณ์ Android ที่จะวางขายในประเทศภายใต้สหภาพยุโรป ซึ่งรวมไปถึงแอพต่างๆใน Play Store ด้วย ซึ่งทางสื่อ The Verge เอง ยังไม่สามารถยืนยันได้ว่า มีการระบุความต้องการนี้ในข้อตกลงของใบอนุญาติทั่วโลกของ Google หรือไม่ (ข้อตกลงบอกไว้แค่ว่า ข้อตกลงในภูมิภาคนั้น เหมือน หรือ ใกล้เคียงกันมาก)
โฆษกของ Google ได้พูดถึงแถลงการณ์ของบริษัทฯช่วงต้นปี เกี่ยวกับการ การแก้ไขบั๊กระบบ 90 วัน ซึ่งเป็นข้อกำหนดความปลอดภัยระบบ “ขั้นต่ำ” ที่บริษัทฯต้องการ โดยอุปกรณ์ที่ใช้งานกว่า 200 รุ่น จากผู้ผลิตอุปกรณ์ Android กว่า 30 เจ้า ต้องมีรันตัวรักษาความปลอดภัยระบบที่อัพเดทของเมื่อ 90 วันที่แล้ว
และยังมีการพูดถึง โครงการ Android One ของ Google ซึ่งออกตัวอัพเดทระบบความปลอดภัยทุกเดือนเป็นเวลา 3 ปี สำหรับมือถือที่รองรับ Android One แต่อย่างไรก็ตาม แถลงการณ์นี้ มันเป็นเพียงข้อปฏิบัติที่ทำแล้วจะดีที่สุด หรือ best practice นั่นเอง อีกอย่าง อุปกรณ์ส่วนใหญ่ ไม่ได้ใช้งาน Android One ด้วย
ปัญหาเรื่องความปลอดภัยระบบ ดูจะเป็นปัญหาที่ค้างคามานานสำหรับ Android ซึ่ง ทางผู้ผลิตเองก็อาจจะมีการเพิกเฉยไปบ้าง กับอุปกรณ์บางรุ่นที่มันกำลังจะตกรุ่น หรือ ตกรุ่นไปแล้ว ผู้ใช้งานจึงไม่ค่อยได้มีการอัพเดทอุปกรณ์ของตัวเองสม่ำเสมอนัก ส่งผลให้ข้อบกพร่องและปัญหาต่างๆที่เคยถูกตรวจพบของระบบยังคงอยู่
ทาง Google เองก็ต้องกระตุ้นให้ทางเครือข่ายโทรศัพท์ และผู้ผลิตแก้ไขปัญหาให้ได้ ซึ่งเวอร์ชั่นของระบบปฏิบัติการ Android ล่าสุด ก็ทำให้ผู้ใช้งานสังเกตง่ายขึ้นว่าอุปกรณ์ของเค้าอัพเดทเป็นเวอร์ชั่นล่าสุดแล้วรึยัง โดยตัว Android O หรือ Oreo มีการปรับโครงสร้างระบบใหม่ ให้การอัพเดทภาพรวมระบบนั้นง่ายและรวดเร็วขึ้น
ด้วยการที่เล็งเห็นความสำคัญของความปลอดภัยระบบ Google จึงมีเงื่อนไข โดยกระตุ้นให้ผู้ซื้อ เลือกโทรศัพท์รุ่นที่ปลอดภัย และ มีการให้รางวัลกับผู้ผลิตที่มีการอัพเดทอุปกรณ์ของตัวเองอยู่เสมอ
