La falla permette a un’applicazione malevola di dirigere il traffico di una connessione VPN a un server differente da quello di destinazione, avendo così accesso ai dati trasmessi.
httpvh://www.youtube.com/watch?v=9JCmI0vbVik
La vulnerabilità può essere sfruttata su qualunque dispositivo Android (al momento ne è stata accertata la presenza su Android 4.3; il testing su KitKat è ancora in corso), anche senza root o permessi specifici, rendendo più difficile l’identificazione dell’azione malevola.
Tuttavia, come si vede nel video precedente, la vulnerabilità va sfruttata attraverso un’applicazione da installare sul device: il solito e sempre valido consiglio di utilizzare unicamente applicazioni provenienti da fonti affidabili dovrebbe dunque abbattere notevolmente i rischi; inoltre, i ricercatori hanno mantenuto il riserbo in merito ai dettagli relativi alla vulnerabilità, in modo da non indurre in tentazione possibili malintenzionati.
Google è stata ovviamente messa al corrente del problema.