Bluebox SecurityのCTO Jeff Forristal氏のブログによれば、この脆弱性を悪用して、アプリに変更を加えて、トロイの木馬に書き替えた場合、端末内のすべてのアプリケーションとそのデータやドキュメント、アカウントやパスワード、さらには通話発信やSMS、カメラの起動、通話記録までを、ユーザーに知られることなく実行できるという。そうなったあとは、最終的に“ゾンビ”端末として、悪意のある攻撃の踏み台にされる恐れもある。

　通常Androidアプリは、内容が正しいものであることを示す電子署名が付与されている。今回のBluebox Securityの発表によれば、これに手を加えることなく、アプリのコードを変更することができるという。詳細は現時点では明らかにされていないが、同社によればこの脆弱性は少なくともAndroid 1.6の頃から存在しており、過去4年間に発売されたAndroid端末、9億台のデバイスに影響をおよぼす可能性があると指摘している。

　同社は、すでにこの問題をグーグルに報告済み。各端末メーカーからファームウェアアップデートが提供される見込みとしている。また、Black Hat USA 2013で詳細を発表する予定。