В конце июля была опубликована информация о том, что 95% устройств на Android имеют уязвимость, которая теоретически может использоваться для заражения смартфонов вирусами через MMS. Причём, пользователю даже не обязательно это MMS-сообщение открывать, а само сообщение на некоторых моделях может быть удалено после заражения.
Как выяснилось позже, уязвимость основана на переполнении целочисленной переменной в библиотеке libStageFright OS Android для работы с мультимедиа-файлами (например, видеороликами mp4) с возможностью записи в область памяти, называемую «кучей», что, теоретически, позволяет получить контроль над порядком исполнения кода на устройстве. Уязвимость может эксплуатироваться не только через MMS, но и любым другим способом, при котором системная библиотека начнет разбор заголовка видео-файла — через специальные ссылки или из локальных приложений.
И вот, через восемь дней после широкого освещения в прессе проблемы с MMS, из черной дыры Google последовал неожиданно масштабный ответ — теперь устройства Google Nexus в течение трех лет с момента начала продаж будут получать ежемесячные обновления с устранением уязвимостей (security updates).
Первое обновление, устраняющие как раз уязвимость в libStageFright, начнет приходить на устройства сегодня — его получат только владельцы Nexus 4, Nexus 5, Nexus 6, Nexus 7, Nexus 9, Nexus 10, and Nexus Player.
Большая же часть устройств на Android, по всей видимости, не получит обновление никогда (см. доли версий Android для понимания уровня обновляемости).