GrapheneOS accusa Google: aggiornamenti Android rallentati e Pixel sempre più chiusi

GrapheneOS, uno dei progetti più rispettati nell’ambito delle ROM Android personalizzate ed alternative, ha lanciato pesanti accuse nei confronti di Google in merito alle modifiche recentemente apportate al programma AOSP (Android Open Source Project). Secondo GrapheneOS, le nuove scelte rappresentano un grave arretramento nella protezione degli utenti, con conseguenze che vanno ben oltre i dispositivi Pixel e minano l’affidabilità dell’intero ecosistema Android.

L’accusa principale: Google avrebbe trasformato il sistema di distribuzione delle patch Android facendolo transitare da un modello mensile a uno trimestrale. GrapheneOS evidenzia che Google fornisce agli OEM un accesso anticipato di 3-4 mesi alle correzioni per Android, una mossa che di fatto faciliterebbe le realtà specializzate nello sviluppo di exploit commerciali nell’ottenimento anticipato di dettagli su vulnerabilità non ancora corrette.

La nuova politica sugli aggiornamenti Android: da mensile a trimestrale

Tradizionalmente, Google ha pubblicato aggiornamenti di sicurezza mensili (Security Bulletins) per Android, un modello imperfetto ma utile per garantire un ritmo costante di correzioni.

Secondo GrapheneOS, il nuovo approccio adottato da Google sarebbe invece “incredibilmente irresponsabile”:

• Le patch sono fornite agli OEM con 3-4 mesi di anticipo.
• La distribuzione pubblica avviene solo al termine dell’embargo trimestrale.
• Gli attaccanti avanzati possono ottenere accesso a queste patch attraverso fughe di informazioni dai partner OEM, rendendo nullo l’embargo.

Per GrapheneOS, questo significa che gli exploit zero-day di fatto diventano “n-day accessibili” a un numero sempre maggiore di attori malevoli, che possono prepararne l’uso mesi prima che la correzione arrivi agli utenti finali.

GrapheneOS accusa Google di aver allungato l’embargo invece di ridurlo, quando la direzione logica sarebbe stata semmai opposta: passare da 30 giorni a disclosure sempre più rapide, riducendo la finestra di esposizione. E aggiunge che aziende specializzate nello sviluppo di spyware (come NSO Group, spyware Pegasus usato nel 2019 contro utenti WhatsApp; Paragon il cui spyware Graphite è stato usato di nuovo contro utenti WhatsApp di primo piano a inizio 2025) o governi interessati ad attività di sorveglianza possono accedere facilmente alle informazioni tecniche.

Ritardi e mancate pubblicazioni degli aggiornamenti AOSP

Un altro tema chiave delle contestazioni avanzate da GrapheneOS, riguarda la mancata pubblicazione puntuale degli aggiornamenti su AOSP. Dal progetto si evidenzia come:

• A luglio e agosto 2025 non siano stati rilasciati i normali aggiornamenti mensili su AOSP.
• La pubblicazione del quarterly update di settembre (QPR1 di Android 16) non è avvenuta nei tempi previsti, nonostante conferme pubbliche da parte di Google.
• Queste mancate release impediscano ai progetti indipendenti di allinearsi e mettere a disposizione build tempestive per gli utenti.

Il risultato è un ecosistema in cui solo Google mantiene il pieno controllo temporale delle correzioni, mentre gli altri – inclusi progetti di sicurezza avanzata – restano vincolati a decisioni centralizzate.

Il problema della trasparenza e della fiducia

Secondo GrapheneOS, Google avrebbe sin qui rilasciato comunicazioni contraddittorie. L’azienda di Mountain View a giugno 2025 affermava che AOSP non era in pericolo e che i rilasci sarebbero proseguiti regolarmente. Nei mesi successivi, però, ha sospeso tre cicli di aggiornamento consecutivi senza spiegazioni.

Per questo il team di GrapheneOS lancia la bordata pubblica: “perché dovremmo credere a quello che Google dice sul sideloading o sulla sicurezza, se le dichiarazioni su AOSP sono già state smentite dai fatti?”

L’impatto sui progetti alternativi e sul futuro di GrapheneOS

Nel suo lungo e accorato post su X, GrapheneOS prosegue sostenendo che le conseguenze delle scelte di Google si riflettono in modo diretto sul lavoro di GrapheneOS.

Senza accesso anticipato, i porting verso le nuove major release (come Android 16 QPR1) diventano molto più onerosi. Il team sta quindi cercando di ottenere un accesso prioritario in via ufficiale sia ai bollettini di sicurezza che alle major release, per preparare versioni già testate da distribuire subito dopo la fine dell’embargo.

La creazione di repository privati interni e la valutazione di release special preview destinate a sviluppatori esterni, rappresentano uno degli strumenti che GrapheneOS ha intenzione di mettere in campo per contrastare la chiusura del ciclo di aggiornamento imposto da Google.

Parallelamente, GrapheneOS sta anche collaborando con un grande OEM per sviluppare futuri dispositivi compatibili con i suoi requisiti di sicurezza, aprendo la strada a un’ulteriore diversificazione dell’offerta.

La rimozione del supporto Pixel da AOSP

Oltre ai problemi legati agli aggiornamenti, GrapheneOS ha già denunciato un altro cambio strutturale che complica drasticamente lo sviluppo di ROM indipendenti: la rimozione del supporto ufficiale per i dispositivi Pixel da AOSP.

In passato, il codice AOSP includeva i “device trees” e il supporto necessario a compilare immagini funzionanti per i Pixel. Questo semplificava enormemente il lavoro dei progetti alternativi, che potevano partire da una base stabile e aggiornata.

Con Android 16, invece, Google ha eliminato il supporto Pixel dal repository AOSP, mantenendo interna la gestione di firmware, driver e configurazioni hardware. D’ora in avanti, chi sviluppa un sistema indipendente deve ricostruire manualmente la compatibilità hardware, un processo complesso e dispendioso.

L’azienda fondata da Larry Page e Sergey Brin ha quindi spostato il baricentro dell’ecosistema Android: fa sempre meno perno su di un progetto open di riferimento, guardando sempre più a un’infrastruttura gestita centralmente da Google.

Per GrapheneOS si tratta di una mossa anti-competitiva, volta a rendere i Pixel sempre più “chiusi” e a scoraggiare fork sicuri e privacy-oriented. La combinazione di questo blocco con i ritardi negli aggiornamenti aumenta il divario tra Google e i progetti indipendenti, che rischiano di inseguire costantemente senza poter competere.