Een lek dat al sinds 2010 in Android zit, zorgt ervoor dat het heel makkelijk is om malware in apps te krijgen. Door het lek kunnen kwaadwillenden codes toevoegen aan bijna iedere app. Daarvoor waarschuwt het beveiligingsbedrijf BlueBox op zijn website.

Het lek komt door een ontwikkelaarscertificaat van Adobe Systems. Dat certificaat geeft apps de mogelijkheid om codes in andere geïnstalleerde apps te zetten. Dat kan bijvoorbeeld gebeuren als apps een Flash plug-in gebruiken. Het probleem ontstaat omdat Android niet controleert of het certificaat ook echt van Adobe afkomstig is. Daardoor wordt het mogelijk om malware te installeren dat gesigneerd is met een vals certificaat.

De kwaadaardige app kan gewoon functioneren met alle gevolgen van dien. Zo wordt het makkelijk om informatie van andere apps te ontfutselen. Het kan dan gaan om passwords maar ook andere gevoelige privé-informatie. Overigens zou het kapen van informatie op deze manier alleen werken bij apps die gebruik maken van WebView, een methode om informatie binnen applicaties te lezen in een webbrowser.

Hoewel in Android 4.4 WebView gebaseerd is op de veilige Chromium-browser, denkt Google dat toch nog 82 procent van de Android-toestellen kwetsbaar zijn.