По словам аналитиков, брешь в системе безопасности под названием Fake ID ("поддельное удостоверение") позволяет обмануть систему цифровых подписей (сертификатов) приложений и выдать вредоносное приложение за приложение официального поставщика, которому пользователь уже разрешил доступ к системе.
Технический директор Bluebox Labs Джефф Фористал в своем рассказе о Fake ID сравнил использование уязвимости с ситуацией, когда грабитель подходит к охране и предъявляет поддельный пропуск, а охрана, взглянув на пропуск, пускает его в здание, не удосужившись сделать контрольный звонок в службу, которая выдает удостоверения.
В качестве примера Фористал рассказал, что поддельное приложение может "притвориться" плагином Flash, просто сообщив системе, что его производителем является компания Adobe. Android это утверждение не проверяет и наделяет приложение привилегиями, доступными официальным приложениям от Adobe. В результате хакер может внедрить в систему вредоносный код.
Сообщение об уязвимости в Android было отправлено в Google еще три месяца назад, после чего специалисты компании выпустили обновление, в котором ошибка была исправлена. Однако миллионы пользователей до сих пор подвержены риску попадания на их смартфоны поддельных приложений, которых злоумышленники могут наделить любыми возможностями. Дело в том, что ошибка исправлена лишь в последней версии Android, в то время как более ранние версии, начиная от Android 2.1, по-прежнему содержат данную уязвимость.