Normalmente le applicazioni sono verificate da firme di cifratura, nel momento in cui si tenta di installare un aggiornamento, se la chiave non corrisponde a quella fornita dallo sviluppatore, allora l’update viene automaticamente respinto. Bluebox, invece, afferma di aver trovato un metodo per modificare il file APK dell’app senza intaccare le firme, in questo modo un malintenzionato potrebbe inviare all’utente un pacchetto software modificato ed essere riconosciuto da Android come app verificata.
La situazione è, al momento, prettamente teorica; attraverso Google Play Store quanto descritto non può accadere, dal momento che Google ha già aggiornato la piattaforma, tuttavia un utente (abbastanza incauto) potrebbe lasciarsi attrarre dall’installazione di un aggiornamento “verificato” per mezzo di altri negozi, e-mail di phishing o siti web malevoli.
Non è noto se questa vulnerabilità riesca a superare anche l’impostazione di protezione “installazione da fonti sconosciute” in Android, tuttavia è sempre meglio evitare l’installazione di aggiornamenti o applicazioni non verificate direttamente da Google.
In conclusione, il bug deve essere fixato per ogni dispositivo, dall’IDG fanno sapere che la patch per il Galaxy S4 è già stata distribuita, mentre per i Nexus è ancora in work-in-progress.