Bluebox affirme sur son site : « cette vulnérabilité est présente depuis au moins la version 1.6 d'Android (au nom de code "Donut") et pourrait affecter n'importe quel téléphone sur Android sorti ces 4 dernières années ». Cela représenterait au total 900 millions d'appareils. Interrogé par le magazine CIO, le directeur technique de Bluebox Jeff Forristal précise qu'à l'heure actuelle seul le Samsung Galaxy S4 fait figure d'exception, ce qui signifie qu'un patch a bel et bien été développé.
Toutes les applications Android disposent d'une signature chiffrée, laquelle est utilisée par le système afin de vérifier la légitimité de ces dernières. En exploitant cette vulnérabilité, il serait donc possible d'insérer n'importe quel type de malware qu'il s'agisse d'un outil envoyant des SMS surtaxés ou un mouchard récupérant des informations personnelles. Rappelons cependant que la menace provient principalement des plateformes de téléchargement autres que celle de Google Play ce qui signifie qu'il faudra préalablement avoir désactivé cette limite dans les paramètres.
Bluebox affirme avoir prévenu Google au mois de février mais à l'heure actuelle aucun patch n'a été déployé par les constructeurs. Les détails de cette vulnérabilité seront rendus publics à l'occasion du sommet BlackHat USA 2013 qui se déroulera du 27 juillet au 1er août. Reste à savoir si un correctif sera proposé d'ici là.
