Theo những thông tin mà Checkmarx cho biết, lỗi này cấp quyền quay video – chụp hình – ghi âm – truy cập GPS cho các ứng dụng chưa được chứng thực. Khi người dùng cấp quyền cho ứng dụng truy cập vào bộ nhớ trong, nó sẽ tải dữ liệu lên một server được điều khiển từ xa.

Việc này có khả năng xảy ra vì nó liên quan đến cách hệ thống Android cấp quyền cho các ứng dụng. Kể từ khi Marshmallow ra mắt, Android đã tối ưu hóa các pop-up để cấp quyền cho các ứng dụng như camera hoặc microphone. Ứng dụng camera của những máy bị ảnh hưởng không cần phải yêu cầu những quyền này, những kẻ tấn công có thể lợi dụng lỗi để theo dõi người dùng Android.

Checkmarx đã thông báo lỗi này cho đội bảo mật Android của Google vào tháng 7 vừa qua. Trong tháng 8, Google và Checkmarx đã liên hệ với nhiều hãng sản xuất khác nhau nhằm vá lỗ hổng này. Samsung đã xác nhận là họ bị ảnh hưởng.

Google cũng đã xác nhận rằng những đối tác Android của họ giờ có thể truy cập vào bản vá lỗi camera này. Hiện vẫn chưa có thông tin về danh sách cụ thể của những hãng nào bị ảnh hưởng và liệu họ có vá lỗi hay chưa. Những sản phẩm như Google Pixel và Samsung Galaxy đã chính thức được vá lỗi này.

Nguồn: Android Authority