Android vraagt gebruikers normaal gesproken om toestemming voor het hanteren van bepaalde gebruiksrechten voorafgaand aan het installeren van apps. Door dat verzoekscherm te passeren is het mogelijk spyware of diallers te installeren op Android-toestellen, schrijft de Duitse site Heise.

Flash Lite

De eerste kwetsbaarheid dook op bij analyse van HTC-toestellen. Android-expert Jon Oberheide ontdekte dat de meegeleverde webbrowser het recht heeft om extra pakketten te installeren. Die worden gebruikt om de Flash Lite-plugin automatisch te updaten. Aanvallers kunnen dit lek misbruiken in combinatie met een andere exploit.

Account Manager

Bij dat lek wordt de Account Manager van Android misbruikt om authentificatietoken te generen voor de Android-market. Zo krijgt het toestel toestemming voor installatie van extra apps, zodra een speciale app is geinstalleerd. Oberheide heeft die malicieuze app als experiment verspreid in de Android Market. Na installatie downloadde deze app vervolgens nog drie andere apps en installeerde deze zonder toestemming van de gebruiker.