這一研究報告來自移動安全技術公司Bluebox Security。該公司的研究人員表示，問題出在Android檢查應用驗證代碼的方式上。黑客可以通過制造一個冒牌的驗證代碼，令他們偽裝成為一個具有良好口碑的應用程序。這一轉變可以讓他們在移動設備中進入自由，并竊取數據。

　　Bluebox Security首席技術官杰夫?弗里斯托(Jeff Forristal)說，“我們已經基本上發(fā)現了創(chuàng)建假冒‘身份證’的方法，多個不同的領域都存在創(chuàng)建假冒身份的問題。”

　　假冒身份缺陷影響包括Android 2.1(發(fā)布時間是2010年1月份)及以上版本，Android 4.4 KitKat已經修正了該缺陷。市場研究公司Gartner的數據顯示，在2012-2013年，Android設備銷量約為14億，預計今年Android設備銷量將達到11.7億。這些數據從側面反映了假冒身份缺陷的影響范圍之廣。

　　假冒身份缺陷的披露表明了安全研究人員和Google合作披露安全缺陷的方式，它還表明了修正Android缺陷的復雜性，因為補丁軟件不僅需要得到Google，還需要得到應用開發(fā)商和設備廠商的參與。

　　弗里斯托稱，Bluebox 3月末完成了假冒身份缺陷的研究工作，3月31日向Google通報了該缺陷。Android安全團隊4月份開發(fā)了補丁軟件，并發(fā)布給廠商，廠商有90天時間部署補丁軟件，而后Bluebox才對外披露了該缺陷。Bluebox對約40款Android設備進行了測試，發(fā)現迄今為止只有一家廠商部署了修正假冒身份缺陷的補丁軟件。

　　對于Bluebox Security發(fā)現的安全漏洞，谷歌表示已經向所有的合作伙伴以及Android開放源代碼項目發(fā)送補丁。此外，谷歌在聲明中還稱：“我們已經掃描了Google Play中所有提交的應用，目前尚無發(fā)現有人利用這一漏洞的證據?！?