Samsung отказалась устранять критические уязвимости в старых флагманских смартфонах

Samsung отказалась устранять критические уязвимости в ряде смартфонов

Александр Панасенко 05 Октября 2015 - 13:07

...

Samsung не стала выпускать обновления прошивок для Samsung Galaxy S4 (I9500) на базе Android Jelly Bean и Android KitKat, ограничившись лишь обновлением для аппаратов под управлением Android Lollipop. Об этом сообщают исследователи из компании QuarksLAB со ссылкой на представителей Samsung.

По словам сотрудника QuarksLAB Джонатана Сальвана (Jonathan Salwan), Samsung была уведомлена о наличии двух уязвимостей в августе 2014 г. У компании ушло три месяца на выпуск заплатки, а ответила она на письмо QuarksLAB лишь в ноябре 2014 г., когда QuarksLAB опубликовала сведения об уязвимости в открытом доступе, передает cnews.ru.

Почему Samsung решила не выпускать патч для Jelly Bean, в компании не уточнили.

Напомним, что Samsung Galaxy S4 — это флагман 2013 г. Он был выпущен в продажу в апреле 2013 г. с ОС Android Jelly Bean. Впоследствии были выпущены обновления до KitKat и Lollipop.

Уязвимости

Обе уязвимости содержатся в системном файле Samsung s3cfb_extdsp_ops.c — им присвоены номера CVE-2015-1800 и CVE-2015-1801 — и позволяют злоумышленнику манипулировать оперативной памятью устройства, взламывать защиту Address Space Layout Randomization (ASLR) и получать доступ к данным.

Двухлетний Android

Google, разработчик платформы Android, не считает целесообразным исправлять уязвимости в версиях Android, которые были выпущены два года назад или раньше. В январе 2015 г. компания отказалась от исправления одной из таких уязвимостей в Android Jelly Bean и более ранних версиях.

Объясняя эту позицию, в Google заявили, что «исправлять уязвимость в компоненте, которому уже больше двух лет, было бы нецелесообразно с точки зрения самой безопасности». Это бы потребовало «изменения значительной части кода» и, в конечном счете, вызвать обратный эффект, посчитали в компании.

Подобные примеры время от времени встречаются в индустрии. В июне 2015 г. о нежелании устранять уязвимость в 32-разрядной версии Internet Explorer 11 заявила Microsoft. В корпорации пояснили, что данная версия непопулярна.

Уязвимости в аппаратах Samsung

В июне 2015 г. стало известно о критической уязвимости в смартфонах Samsung Galaxy, затрагивающей около 600 млн устройств. Уязвимость позволяет получать доступ к датчикам, GPS, камерам и микрофону, незаметно устанавливать вредоносные приложения, вмешиваться в работу других приложений и операционной системы смартфона, перехватывать сообщения и прослушивать звонки, получать доступ к фотографиям и видеозаписям.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Татьяна Никитина 19 Июня 2025 - 09:02

Соответствие законодательству РФ Общее Защита критически важных объектов Соответствие требованиям регуляторов

ФСТЭК России огласила новые требования по защите ИС госструктур

Опубликованы обновленные ФСТЭК России нормативы по защите информации для госорганов и контролируемых государством учреждений, которые начнут действовать с 1 марта 2026 года.

Приказ регулятора № 117 от 11.04.2025 об утверждении требований по защите информации издан взамен аналогичного и пока актуального распоряжения № 17 от 11.02.2013.

В документе особо отмечено, что аттестаты соответствия на ГИС и иные ИС, выданные до вступления в силу новых норм, будут считаться действительными.

В нем также определена основная цель защиты информации в госструктурах — предотвращение событий, приводящих к негативным последствиям (угроза жизни / здоровью, утечка персональных данных, нарушение функционирования АСУ, материальный ущерб, потеря конкурентного преимущества и т. п.).

Для этого оператору следует прежде всего определить такие события, соответствующие угрозы, а также системы и средства, воздействие на которые может привести к негативным последствиям.

Согласно новым требованиям, подразделения ИБ должны как минимум на 30% состоять из сотрудников с профильным образованием либо прошедших соответствующую переподготовку.

Много внимания в приказе уделено работе с подрядчиками. В частности, для них рекомендуется разработать политику ИБ и вменить им в обязанность следовать таким указаниям.

Стоит также отметить следующие требования:

проведение мониторинга ИБ в соответствии с ГОСТ Р 59547-2021, с передачей ФСТЭК годовых отчетов о результатах;
проведение проверок защищенности (дважды в год или чаще) и уровня зрелости (ежегодно) по методикам ФСТЭК;
передача регулятору данных о новых уязвимостях (в течение пяти рабочих дней);
сокращение сроков устранения уязвимостей (критические — 24 часа, высокой степени опасности — 7 календарных дней);
обязательный контроль установки обновлений;
привилегированный доступ — только со строгой аутентификацией или усиленной MFA, а также с регистрацией таких попыток;
обязательное использование EDR.

Пользоваться личными мобильными устройствами разрешено, но с соблюдением требований по защите и под контролем. Предусмотрена возможность удаленного доступа с личных устройств (в пределах России) при наличии адекватной защиты: специализированных средств обеспечения безопасности, антивируса, аутентификации с использованием криптографии и т. п.

Примечательны также требования в отношении ИИ: в случае использования таких технологий оператор должен обеспечить защиту от утечек, злоупотреблений через атаку на ИИ-модель и соблюдать регламент взаимодействия с ИИ-сервисами — по разработанным шаблонам либо без них, но с ограничением тематики.

Поскольку ИИ может совершать ошибки, оператору надлежит принять меры по их выявлению и ограничить участие такого помощника в принятии решений.