El susține că există posibilitatea ca orice hacker malițios să poată modifica fisiere tip APK, fără să modifice semnatura criptată a aplicației, ceea ce ar permite transformarea oricărei aplicații Android într-un virus troian.
Jeff Forristal, CTO la Bluebox (Chief Technology Officer), a postat, pe un blog, afirmația că aproape toate telefoanele Android, fabricate în ultimii 4 ani, adică aproape 900 de milioane de aparate, ar putea fi afectate de această breșă.
Acest anunț a dus la apariția unor titluri înspăimântătoare în presa de specialitate, fiind preluat instantaneu, fără ca cineva să aibă răbdare să verifice și cu cei de la Play Store, cât de reală este această amenințare.
La o săptămână, de la declanșarea acestei isterii, unul dintre purtătorii de cuvânt de la Google, autorizat să vorbească despre acest subiect, explica de ce nu trebuie să ne facem probleme, spunând că toate aplicațiile din Google Play Store, sunt scanate, în mod special, pentru genul acesta de vulnerabilitate, iar până acum nu a fost întâlnită nicio problemă.
Raționamentul a fost dus mai departe, în această dezbatere Bluebox-Google, în ideea în care o astfel de amenințare nu poate veni din partea Google Play Store, de unde ar putea veni? Forristal afirmă ca de la magazinele online de aplicații independente (3rd party stores), e-mail-uri, download-uri, transfer direct via USB.
Răspunsul Google a fost, de departe, clar și răspicat. Aparatele care rulează Android nu pot instala aplicații prin metodele enumerate mai sus, decât dacă utilizatorul acordă permisiunea, în mod explicit, din setările smartphone-ului.
Optiunea de a instala din alte surse, decât cele agreate de Android, este dezactivată, implicit. Chiar dacă această opțiune ar fi activată, de utilizator, în cazul Android de la 4.2 în sus, există un alt nivel de securitate, care verifică daca aplicațiile contin coduri malițioase.
Cu alte cuvinte, pentru a fi, întradevar, vulnerabil în fața exploatării acestei slăbiciuni a sistemului, ar trebui să fie activă optiunea de a instala aplicații din afara Google Play Store, să fie dezactivat sistemul de scanare built-in al Android-ului, să nimerești o aplicație care conține cod malițios și, într-un final, să instalezi manual, de bună voie, acea aplicație.
Statistica celor de la Google arată că utilizatorii, care s-ar afla într-o astfel de
ipostază, sunt cu mult mai puțini decât cei 99% presupuși a fi vulnerabili. E ca și când toată lumea ar traversa pe rosu și niciun șofer nu ar încetini.
În plus, de această explicație binevenită, Google a lansat și un patch de securitate, pentru această vulnerabilitate, care va fi inclus în update-urile viitoare, patch care este compatibil chiar și cu versiunile custom de Android, cum ar fi CyanogenMod.
Cert este că există o mare diferență între o vulnerabilitate potențială și iminentă, lucru pe care americanii nu îl prea înțeleg.
