Дело в том, что все Android-приложения содержат криптографические подписи, позволяющие операционной системе определять их подлинность. Но эта проверка в различных приложениях выполняется по-разному, что и могут использовать злоумышленники, модифицировав приложение без нарушения криптографической подписи.
Модифицированное предложение может использоваться для любых целей, в том числе кражи личных данных, создания мобильного ботнета и так далее.
А если злоумышленник модифицирует системное приложение, которое идет изначально предустановленным производителем и которое имеет более широкие привилегии, то он может получить полный доступ к операционной системе, всем установленным приложениям, учетным записям пользователя, их паролям и сможет управлять любой функцией смартфона, в том числе телефонными звонками, сообщениями и даже камерой.
Масштаб уязвимости оказался неожиданно широк, такого ранее никогда не было. Проблема затрагивает все смартфоны и планшеты с операционной системой Android 1.6 Donut и выше, а это 99% всех девайсов, то есть примерно 900 миллионов устройств.
Сообщается, что эксперты, видя масштаб проблемы, не стали разглашать информацию об уязвимости сразу после обнаружения, а передали ее в Google еще в феврале. Однако как отреагировал на это интернет-гигант — неизвестно. Вполне вероятно, что проблема будет полностью закрыта в новой ОС Android 4.3 Jelly Bean, релиз которой должен состояться уже в этом месяце.