<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Mon, Oct 16, 2017 at 9:22 PM, Henry Baker <span dir="ltr"><<a href="mailto:hbaker1@pipeline.com" target="_blank">hbaker1@pipeline.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span>At 06:42 PM 10/16/2017, John Levine wrote:<br>
>In article <<a href="mailto:1508202259012.9724@cs.auckland.ac.nz" target="_blank">1508202259012.9724@cs.aucklan<wbr>d.ac.nz</a>> you write:<br>
>>Not to mention that fact that it's a forever-day on most devices...<br>
><br>
>Depends what devices.<br></span></blockquote><div>.......... </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span>
<br>
</span>Biggest problem IMHO is Android.  There doesn't appear to be any way -- short of a class-action lawsuit -- to force the Android phone vendors to supply a firmware upgrade.  They're already 12-24 months behind on CVE's.  And I doubt that Google is willing to upgrade every Android phone on its own.</blockquote><div><br></div><div>It is more than the hardware vendor.   Serious constipation exists within carriers.<br>To get a phone from anyone other than the hardware vendor inserts the carrier</div><div>in the chain of dependencies.   If  a Samsung phone is sold by AT&T there is nothing</div><div>Samsung can do because the update path requires AT&T.<br><br>Google does issue patches.  Some patches are picked up and applied.  Some handful</div><div>of devices are bricked in the process and that generates bad press that is not tempered</div><div>by the real threat addressed.   <br><br>I picked on Samsung -- their phones, tablets, TVs, Blu Ray Players all suffer from <br>vendor imposed service life that is much too short when compared with the price</div><div>and hardware service life.  About two years... or one year after the last device of a </div><div>specific model gets shipped to distribution.  They are not alone but I have not found<br>a worse large vendor.<br><br>Some would make it illegal to research and root these devices.<br>The numbers of devices in so many US homes makes the risk of Kaspersky Lab </div><div>and a Russian Government connection seem to be a small risk.<br>Analysis of Kaspersky Lab and if necessary purging of software that lives on<br>top of an OS seems easy compared to the logistics of the DHS blocking </div><div>all the Samstung devices in the US. <br><br><br><br></div></div>-- <br><div class="gmail-m_5563764502370842821gmail_signature"><div dir="ltr">  T o m    M i t c h e l l</div></div>
</div></div>