Googleがパッチを提供しない古いOSの場合は、端末メーカーかどこかがパッチを作らないといけないしね。

Android搭載端末の半数以上に、修正されないまま放置された脆弱性が存在する――セキュリティ企業の米Duo Securityがそんな調査結果を発表した。
Duo Securityはモバイル端末の脆弱性をチェックするモバイルアプリ「X-Ray」を開発し、Android向けに提供している。同アプリは、既に公になっているのに修正されないまま放置され、悪用できる状態になっている脆弱性を見つけ出すことができる。
同社の9月12日のブログによると、X-Rayを通じて収集した2万台強のAndroid端末の情報を分析した結果、推定で半数以上のAndroid端末に未解決の脆弱性が存在することが分かったという。しかも、これはかなり少な目に見積もった数字だとしている。
キャリア各社は、特に権限昇格の脆弱性について、何カ月も何年も修正しないまま放置していることが多いといい、デスクトップ向けの脆弱性修正パッチがほぼ即座に配信されるのとは対照的な状況だという。

Android端末の半数以上に未解決の脆弱性、セキュリティ企業が発表 - ITmedia エンタープライズ