И вот подтверждение[spoiler]. Samsung отказался выпускать обновления прошивок для Samsung Galaxy S4 (I9500) на базе Android Jelly Bean и Android KitKat. Обновление выйдет только для прошивки Android Lollipop. Об этом сообщили исследователи QuarksLAB со ссылкой на Samsung.
Несмотря на то что представители Samsung были уведомлены о наличии двух уязвимостей еще в августе 2014, на выпуск заплаток у Samsung ушло три(!) месяца.
Уязвимости
Обе уязвимости содержатся в системном файле Samsung s3cfb_extdsp_ops.c — им присвоены номера CVE-2015-1800 и CVE-2015-1801 — и позволяют злоумышленнику манипулировать оперативной памятью устройства, взламывать защиту Address Space Layout Randomization (ASLR) и получать доступ к данным.
Двухлетний Android
Google не считает необходимым исправлять уязвимости в версиях Android, выпущенных два и более лет назад. В январе 2015 г. компания отказалась от исправления одной из таких уязвимостей в Android Jelly Bean и более ранних версиях. По заявлениям Google исправлять подобные уязвимости нет смысла, так как это требует значительных усилий. Как видно из заявления, судьба самих пользователей и их безопасность в Google никому не интересна.
Уязвимости в аппаратах Samsung
В июне 2015 стало известно о новой критической уязвимости в смартфонах Samsung Galaxy. Под угрозой оказались более 600 млн. устройств. Будет ли исправлена данная уязвимость – неизвестно.
Таким образом подтверждаются мысли, изложенные ранее в моей заметкеБезопасность vs жажда наживы. Безопасность, увы, проигрывает...Разработчику, увы, гораздо важнее продать новое устройство, чем исправлять существующие ошибки.
