Công ty Palo Alto Networks đã phát hiện ra lỗi này. Sau đó Google, Samsung, Amazon đã phát hành bản sửa lỗi cho các thiết bị của mình, nhưng 49,5% người dùng Android vẫn đang ở trong “tình trạng nguy hiểm”.
Với lỗi bảo mật được gọi là “Android Installer Hijacking”, một ứng dụng độc hại có thể được lợi dụng cài đặt và có toàn quyền truy cập vào thiết bị, bao gồm cả các thông tin như tên người dùng và mật khẩu.
Theo Palo Alto, hai lỗ hổng đã lợi dụng lỗi bảo mật của Android, liên quan đến cách cài đặt gói ứng dụng Android (APK). Lỗ hổng này chỉ ảnh hưởng đến các ứng dụng của bên thứ ba không phải của nhà sản xuất hay Android phát hành.
Các ứng dụng được download từ bên thứ ba này đặt file cài đặt APK của chúng trong nơi lưu trữ không được bảo mật của thiết bị, ví dụ như card SD. Từ đó, một ứng dụng hệ thống gọi là PackageInstaller hoàn tất phần cài đặt. Lỗi của Android cho phép file APK được chỉnh sửa và thay đổi trong lúc cài đặt mà không ai hay biết.
Một cuộc tấn công có thể xảy ra khi người dùng download một ứng dụng có vẻ hợp pháp. Ứng dụng này đòi hỏi vài quyền truy cập nhất định trong thiết bị. Trong quá trình ấy, nó có thể âm thầm chuyển đổi hoặc chỉnh sửa file APK để PackageInstaller không thể xác định được.
Sau khi click nút cài đặt, PackageInstaller có thể thực sự cài đặt một ứng dụng hoàn toàn khác cùng với quyền truy cập cũng khác.
Tấn công có thể xảy ra với thiết bị Android chưa được root, dù thiết bị đã root có nhiều nguy cơ hơn.
Sau khi lỗi này được phát hiện vào tháng 1-2014, 90% thiết bị Android bị ảnh hưởng. Dù con số này đã giảm xuống 49,5%, rất nhiều thiết bị vẫn chưa được vá lỗi.
Lỗi này có trong Android bản 2.3, 4.0.3 đến 4.0.4, 4.1.x, và 4.2.x. Bản Android 4,4 đã được sửa lỗi, nhưng vài thiết bị Android 4,3 có thể vẫn bị ảnh hưởng vì nhà sản xuất chưa vá lỗi.
Google đã đưa bản vá lỗi ở đây: Link. Và Amazon khuyến cáo nên dùng bản Amazon AppStore mới nhất cập nhật cho các thiết bị Fire. Palo Alto cũng phát hành một ứng dụng (Link) để xác định thiết bị có bị ảnh hưởng hay không.