Согласно Bluebox, уязвимость существует со времен Android 1.6 (Donut) и дает разработчикам возможность изменить код официального apk-файла без взлома его криптографической подписи, пишет 4pda.ru.
Таким образом, установка зараженного файла пройдет незаметно. Для того, чтобы задумка хакеров удалась, им необходимо обманом заставить пользователя установить вредоносный файл. Теоретически, злоумышленники могут выдать данный файл за официальное обновление приложения, тем самым не вызвав подозрений у пользователя. Например, выложить на каком-нибудь форуме "обновление" программы, которое скачают сотни людей.
Bluebox утверждает, что уведомили Google еще в феврале. По словам технического директора Bluebox, Джеффа Форристала, единственный девайс, который не подвержен угрозе, это, как ни странно, Galaxy S4. Это наталкивает на мысль о том, что обновление безопасности существует. Далее Форристал заявил, что в данный момент Google работает над патчами безопасности для своей линейки Nexus.
Компания Google, в свою очередь, отказалась комментировать данное заявление.
Остается надеяться, что производители девайсов выпустят обновления безопасности и закроют эту уязвимость. Помните, вы можете защитить себя, устанавливая обновления из Play Store.