Het bewuste Android-gat is al veertien maanden geleden gedicht in Android 4.2, maar dat komt met de huidige verspreiding van Android-versies neer op bescherming voor 27 procent van de gebruikers. Rapid7 waarschuwt dan ook dat dit gat problematischer is dan het klinkt en met de module in pentesttool Metasploit hoopt het bedrijf dat leveranciers meer zullen doen aan het dichten van dit gat.

De Android-fragmentatie per 14 februari 2014:

Trage updates? Neem een Nexus

Via de kwetsbaarheid kan er een malafide JavaScript-uitvoering plaatsvinden in de Android-browser of een app. Daarmee krijgt een aanvaller dezelfde machtigingen te pakken als de applicatie die wordt misbruikt en dus toegang tot onder meer foto's, contactgegevens en locatiedata. Het enige wat cybercriminelen nodig hebben, is een landingspagina waar een exploit op draait dat gebruikmaakt van dit gat en een verleidingstruc om Android-gebruikers naar deze site te lokken, bijvoorbeeld een interessant ogende QR-code.

Techsite Ars Technica wijst erop dat dergelijke kwetsbaarheden er vaker voor zorgen dat niet alleen de browser vatbaar is, maar ook apps die gebruikmaken van dezelfde functionaliteit. Vanwege de trage updates naar modernere versies van Android, raadt Ars gebruikers aan om een toestel te nemen dat wordt onderhouden door Google zelf, zoals de Nexus 5.