На протяжении пяти лет во многих смартфонах на платформе Android существует уязвимость, делающая доступной переписку пользователей, историю звонков и прочие данные. Наибольшую угрозу она представляет в версиях Android 4.3 и более ранних, позволяя приложениям с ограниченными привилегиями получать доступ к персональной информации, которая должна быть для них недоступной, пишет компания FireEye.
Баг CVE-2016-2060 впервые появился с набором программных интерфейсов компании Qualcomm для системного сервиса network_manager и затем netd. Он существует с 2011 года и затрагивает сотни моделей устройств. Приложения обретают возможность повышать свои разрешения и получать доступ к данным и звонкам.
1 мая Google выпустила патч безопасности Android; также компания говорит, что аппараты Nexus ей не были затронуты. Однако при современном положении дел с обновлениями Android большая часть устройств этот патч получит нескоро или не получит вовсе. Число аппаратов в зоне риска может составлять 34% от общего числа активных на платформе Android устройств. У них нет представленной в версии 4.4 защиты под названием SEAndroid (Security Enhancements for Android).
Однако опасность существует даже на моделях с версиями от 4.4 и новее, на которых вредоносное ПО может незаметно менять настройки системы. В сочетании с другими уязвимостями это может привести к новым атакам на данные пользователей. В таком случае опасность угрожает 73,1% устройств.