Laut Bluebox, so der Name der besagten Sicherheitsfirma, sei die Lücke seit Android 1.6 alias Donut vorhanden. Das Samsung Galaxy S4 sei das einzige Gerät, bei dem das Leck per Update entfernt wurde. Alle anderen sind noch angreifbar. Im Extremfall können Hacker den Code einer App verändern, ohne dass die kryptographische Signatur modifiziert wird. Übeltäter könnten so Schadcode in eine App einschleusen. Installiert der User besagte Anwendung, erhält der Hacker nicht nur die Oberhand über Telefonanrufe oder SMS, sondern auch Zugriff auf relevante Daten wie Kennwörter.

Bluebox hat Google nach eigener Aussage bereits im Februar 2013 auf den Fehler aufmerksam gemacht. Anschließend habe der Anbieter die Android-Smartphone-Hersteller über die Situation informiert. Wann entsprechende Aktualisierungen veröffentlicht werden? Lässt sich momentan schwer sagen. In der Zwischenzeit sollte jeder Android-Nutzer jedenfalls zweimal auf die Quelle schauen, wenn es um die Installation einer neuen App geht.