Samsung отказалась устранять критические уязвимости в старых флагманских смартфонах

Samsung отказалась устранять критические уязвимости в ряде смартфонов

Samsung не стала выпускать обновления прошивок для Samsung Galaxy S4 (I9500) на базе Android Jelly Bean и Android KitKat, ограничившись лишь обновлением для аппаратов под управлением Android Lollipop. Об этом сообщают исследователи из компании QuarksLAB со ссылкой на представителей Samsung.

По словам сотрудника QuarksLAB Джонатана Сальвана (Jonathan Salwan), Samsung была уведомлена о наличии двух уязвимостей в августе 2014 г. У компании ушло три месяца на выпуск заплатки, а ответила она на письмо QuarksLAB лишь в ноябре 2014 г., когда QuarksLAB опубликовала сведения об уязвимости в открытом доступе, передает cnews.ru.

Почему Samsung решила не выпускать патч для Jelly Bean, в компании не уточнили. 

Напомним, что Samsung Galaxy S4 — это флагман 2013 г. Он был выпущен в продажу в апреле 2013 г. с ОС Android Jelly Bean. Впоследствии были выпущены обновления до KitKat и Lollipop.

Уязвимости

Обе уязвимости содержатся в системном файле Samsung s3cfb_extdsp_ops.c — им присвоены номера CVE-2015-1800 и CVE-2015-1801 — и позволяют злоумышленнику манипулировать оперативной памятью устройства, взламывать защиту Address Space Layout Randomization (ASLR) и получать доступ к данным.

Двухлетний Android

Google, разработчик платформы Android, не считает целесообразным исправлять уязвимости в версиях Android, которые были выпущены два года назад или раньше. В январе 2015 г. компания отказалась от исправления одной из таких уязвимостей в Android Jelly Bean и более ранних версиях. 

Объясняя эту позицию, в Google заявили, что «исправлять уязвимость в компоненте, которому уже больше двух лет, было бы нецелесообразно с точки зрения самой безопасности». Это бы потребовало «изменения значительной части кода» и, в конечном счете, вызвать обратный эффект, посчитали в компании.

Подобные примеры время от времени встречаются в индустрии. В июне 2015 г. о нежелании устранять уязвимость в 32-разрядной версии Internet Explorer 11 заявила Microsoft. В корпорации пояснили, что данная версия непопулярна. 

Уязвимости в аппаратах Samsung

В июне 2015 г. стало известно о критической уязвимости в смартфонах Samsung Galaxy, затрагивающей около 600 млн устройств. Уязвимость позволяет получать доступ к датчикам, GPS, камерам и микрофону, незаметно устанавливать вредоносные приложения, вмешиваться в работу других приложений и операционной системы смартфона, перехватывать сообщения и прослушивать звонки, получать доступ к фотографиям и видеозаписям.

Карты с бензином под подозрением: Минэнерго заявило о риске сбора данных

Минэнерго России призвало автомобилистов осторожнее относиться к сайтам и сервисам, которые показывают наличие топлива на заправках. В ведомстве считают, что такие площадки могут быть опасны из-за возможного незаконного сбора персональных данных.

По данным министерства, с конца июня 2026 года резко выросла активность интернет-ресурсов, где пользователям предлагают смотреть, на каких АЗС есть бензин или другое топливо. Информация на таких сервисах якобы добавляется самими автомобилистами.

Но в Минэнерго настроены скептически. Ведомство заявило, что анализ опубликованных данных указывает на их недостоверность. Кроме того, специалисты заметили манипуляции сведениями о наличии топлива на заправках.

Проще говоря, если сервис показывает, что где-то точно есть бензин, это еще не значит, что он там действительно есть. Зато риск оставить свои данные на сомнительной площадке вполне реальный.

Предупреждение появилось на фоне сообщений СМИ о быстром росте популярности подобных проектов. Один из них — сервис «ГдеБенз» — якобы собрал около 2 млн посетителей всего за три дня.

При этом сам сервис утверждает, что не требует регистрации, не просит скачивать приложения и не собирает пользовательские данные.

Тем не менее Минэнерго советует не доверять таким ресурсам безоговорочно. Ведомство указывает, что информация о наличии топлива может быть неточной, а сами площадки — использовать интерес автомобилистов для сбора данных или распространения недостоверных сведений.

На днях мы также сообщали о новом зловреде для Android, который маскируется под видом сервиса поиска топлива.

RSS: Новости на портале Anti-Malware.ru