Kỹ sư Lukasz Siewierski của Google là người đầu tiên phát hiện ra vấn đề về chứng chỉ, cho biết các chứng chỉ (hoặc khóa ký) này xác định tính hợp pháp của phiên bản Android trên thiết bị, cũng như cho phép các nhà cung cấp ký ứng dụng.
Điều này cực kỳ quan trọng bởi điều đó đồng nghĩa rằng tác nhân độc hại có thể chèn malware mà Google, nhà sản xuất thiết bị, hay nhà phát triển ứng dụng không hề hay biết. Về mặt lý thuyết, nếu khách hàng tải về bản cập nhật từ trang web của bên thứ 3, tác nhân xấu có thể âm thầm lây nhiễm malware mà vẫn có thể hoạt động như 1 bản cập nhật ứng dụng hợp pháp.
Chứng chỉ ký ứng dụng được sử dụng để ký ứng dụng “android” trên image hệ thống được gọi là chứng chỉ nền tảng. Chương trình “android” được thực thi với user-id “android.uid.system” có đặc quyền cực cao, được cấp quyền truy cập vào dữ liệu người dùng. Theo 1 bài đăng trên blog của Google, cấp độ truy cập vào hệ điều hành Android tương tự có sẵn cho bất kỳ chương trình nào được chứng nhận cùng chứng chỉ.
Thông tin công khai của Google không nêu rõ thiết bị hoặc OEM nào bị ảnh hưởng, tuy nhiên, một số công ty có khóa bị rò rỉ bao gồm:
- Samsung
- LG
- MediaTek
- Szroco (nhà sản xuất máy tính bảng Onn của Walmart)
- Revoview
Lỗ hổng bảo mật đã được báo cáo vào tháng 5/2022, và các công ty liên quan đã thực hiện các biện pháp khắc phục để giảm thiểu tác động đến người tiêu dùng.
Theo Google, để hạn chế bị ảnh hưởng bởi lỗ hổng này, các công ty bị ảnh hưởng phải hoán đổi các khóa ký nền tảng Android. Công ty tuyên bố rằng việc khai thác này không ảnh hưởng đến bất kỳ ứng dụng nào được tải xuống từ cửa hàng Google Play.
Bên cạnh đó, người dùng điện thoại Android cũng sẽ được bảo vệ bởi tính năng Play Protect.