A napokban elég rendes sajtóvisszhangja volt a Bluebox bejelentésének, mely szerint egy 900 millió Android készüléket érintő sérülékenységet készülnek demózni a vegasi Black Hat konferencián. Az ilyen bejelentésekkel az a baj, hogy ugyan semmilyen konkrétumot nem tartalmaznak, de igyekeznek minél nagyobb riadalmat kelteni a látogatottság maximalizálása érdekében (lásd még: FUD, publicity stunt). 

Most azonban megjelent egy kódrészlet, melynek szerzője a Google foltja alapján reprodukálta a hibát, melyet feltehetően a Bluebox is bejelentett. A vicc az, hogy mikor múlt héten Dnet számba vette a lehetőségeket, ő is felvázolta ugyanezt a problémát, és ezzel a felismeréssel feltehetően nem volt egyedül: 

A ZIP (JAR, APK) archívumok tartalmazhatnak duplikált fájlneveket, a jarsigner viszont nem a teljes archívumot, hanem az abban található egyes fájlokat írja alá, így előállhat az az eset, hogy az eszköz az eredeti állomány eredetiségét ellenőrzi (és rendben találja), majd a kicsomagolás során ugyanez a fájl felülírásra kerül az azonos nevű, módosított változattal, így kompromittálva az alkalmazást. 

És hogy mindennek mi a hatása? Ismét Dnetre hivatkoznék:

[...] nehéz globális léptékben, tömegesen kihasználni ezt a sebezhetőséget, mivel az egyes készülékek más-más [tanúsítvánnyal vannak aláírva], így nem lehet egy általánosan működő, mind a 900 millió aktivált androidos eszközt támadó kódot létrehozni. "Aki a Google Play Store-t használja, nehéz támadni, de kérdéses, hogy mi a helyzet az egyéb megoldásokkal, például az Amazon Kindle Fire táblagépek saját boltjával vagy azokkal az országokkal (pl. Kína), ahol nincs Play Store, így saját megoldások működnek, a Google védőszárnyai nélkül."

[...]

"A kutatás ugyanakkor fontos dologra mutat rá, ami egyébként más területekre is kihathat, mivel hasonló aláírást használnak a Java Web Start alkalmazások és a - ma már kevésbé elterjedt - Java appletek"