O bug está presente em todas as versões do Android desde a versão 2.1 ("Eclair"), excluindo o mais recente Android 4.4 ("KitKat"). Os dispositivos nos quais o bug 13678484 foi corrigido (o patch foi emitido no início deste ano), não são vulneráveis a ataques. Todos os HTC, Pantech, Sharp, Sony Ericsson, Motorola e dispositivos que possuem extensões de administração do dispositivo 3LM, também estão em risco devido a esta falha.
Sendo assim, para entender a vulnerabilidade, é preciso primeiro entender o modelo de segurança do Android. Os pedidos são assinados com certificados digitais, e essa assinatura define quem pode atualizar o aplicativo, de qual forma as aplicações podem compartilhar seus dados, e assim por diante. Mas algumas assinaturas recebem privilégios especiais. "Por exemplo, uma aplicação com a assinatura (ou seja, o certificado digital identidade) da Adobe Systems é permitido agir como um plugin webview de todos os outros aplicativos, presumivelmente para oferecer suporte ao plugin Adobe Flash.
Saiba Mais:
[1] Net Security http://www.net-security.org/malware_news.php?id=2824