Android, podobnie jak wiele innych systemów operacyjnych, korzysta z otwartoźródłowego jądra Linux. Istnieje kilka różnych typów wydań jądra Linux, ale dla Androida najważniejsze są wydania z długoterminowym wsparciem (LTS), które są regularnie aktualizowane o ważne poprawki błędów i zabezpieczeń. Od 2017 roku okres wsparcia wydań LTS został wydłużony z dwóch do sześciu lat, ale na początku ubiegłego roku decyzja ta została cofnięta. Na szczęście Google ogłosiło, że będzie wspierać swoje własne wydania LTS przez cztery lata. Oto dlaczego jest to istotne dla bezpieczeństwa urządzeń z Androidem.
Jądro Linux, które znajduje się na większości urządzeń z Androidem, pochodzi z jednej z gałęzi Android Common Kernel (ACK) firmy Google. Te gałęzie ACK są tworzone z głównej gałęzi jądra Androida, gdy tylko nowe wydanie LTS zostanie ogłoszone przez twórców jądra. Na przykład gałąź android15-6.6 ACK została utworzona krótko po ogłoszeniu wersji 6.6 jako najnowszego wydania LTS, przy czym „android15” w nazwie odnosi się do wersji Androida, z którą jest związane jądro (w tym przypadku Android 15).
Google wymienia trzy powody, dla których utrzymuje własną wersję każdego wydania LTS jądra Linux. Po pierwsze, wersje Google mogą zawierać wsteczne przeniesienia i wybierane funkcje z głównego nurtu, które są potrzebne do funkcji Androida. Po drugie, mogą wprowadzać funkcje, które są gotowe dla urządzeń z Androidem, nawet jeśli są jeszcze w fazie rozwoju w głównym nurcie. Wreszcie, mogą zawierać pewne funkcje dostawców lub producentów OEM, które są przydatne dla innych partnerów Androida.
Po ich utworzeniu, gałęzie ACK są dalej aktualizowane przez Google, aby otrzymywać poprawki błędów specyficznych dla Androida oraz łączenia z gałęzi głównego jądra LTS. Wykryte w comiesięcznym biuletynie zabezpieczeń Androida luki, takie jak te wymienione w biuletynie z lipca 2024 roku, są adresowane przez te aktualizacje.
Jednak nie zawsze jest możliwe zidentyfikowanie, kiedy poprawka błędu jest również poprawką zabezpieczeń, ponieważ łatka naprawiająca błąd może również zamykać lukę bezpieczeństwa, o której autor zgłoszenia nie wiedział lub nie chciał ujawnić. Google stara się identyfikować takie przypadki, ale niemożliwe jest uchwycenie wszystkich, co prowadzi do sytuacji, w których poprawki trafiają do głównego nurtu Linux na miesiące przed ich dotarciem do urządzeń z Androidem. Dlatego Google naciska na producentów OEM Androida, aby regularnie przeprowadzali aktualizacje LTS, aby nie zostać zaskoczonymi ujawnieniem luki bezpieczeństwa.
Jasne jest, że wydania LTS jądra Linux są niezwykle ważne dla bezpieczeństwa urządzeń z Androidem, ponieważ pomagają Google i producentom OEM w rozwiązaniu znanych i nieznanych luk bezpieczeństwa. Im dłuższy okres wsparcia wydania LTS jądra Linux, tym dłużej Google i, w konsekwencji, producenci OEM mogą utrzymywać swoje urządzenia na bieżąco z poprawkami zabezpieczeń.
Niestety, chociaż dłuższy okres wsparcia jest korzystny dla Google i producentów OEM, wywiera ogromne obciążenie na programistów i utrzymujących jądro Linux, z których wielu to nieopłacani wolontariusze. Ponadto, jeśli wyłączymy urządzenia z Androidem i wbudowane urządzenia, niewiele urządzeń korzysta z starszych wersji Linuxa.
