Sikkerhedsfirmaet Bluecoat Labs, har fundet en sårbarhed i Android de kalder for “Fake ID”, der rammer alle versioner siden 2.1 og op til 4.4. Den sidste nye version af 4.4 der blev frigivet i april (version 4.4.4) er ikke ramt. Det betyder at 82,1 % af Android brugerne i øjeblikket er sårbare overfor angreb via Fake ID.
Sårbarheden findes i den måde Android håndterer godkendelse af applikationer på. En applikation har en kryptografisk signatur, der bestemmer hvad den kan på ens smartphone, samt hvem der må opdatere den.
Der benyttes en række certifikater i en hierarkisk struktur, til at tjekke tilhørsforholdet for en given applikation. Problemet er så, at der ikke udføres et grundigt nok check af certifikaterne, hvorfor det er muligt, at udstede sit eget underliggende certifikat og lade som om den eksempelvis tilhører Adobe.
Adobe’s øverste certifikat har en masse grundliggende rettigheder, som laverestående certifikater med et Adobe tilhørsforhold arver. Det betyder at er falsk certifikat, kan give ens applikation de samme rettigheder som Adobe’s applikationer har.
Gør man brug af eksempelvis certifikatet til Googles NFC funktion, så giver det pludseligt adgang til Googles Wallet service og dermed eventuelle kreditkortoplysninger man måtte have oplyst her.
Efter at Bluecoat Labs oplyste Google om sårbarheden, har Google hurtigt fået lavet en patch og givet denne til deres partnere. Det er nu op til partnerne af få distribueret patchen ud til deres mange varianter af smartphone.