A existência de outro bug “master key”, que pode ser usado para liberar malware para os usuários do Android tem sido divulgada publicamente por Jay Freeman (aka Saurik ), o consultor de tecnologia e pesquisador de segurança que descobriu o bug em torno do mesmo período que os dois anteriores foram encontrados e descritos, no último mês de julho. Freeman não veio a público com o seu conhecimento; em seguida, ao invés disso, notificou o Google em relação a falha para que a mesma pudesse ser corrigida na atualização de entrada do sistema operacional.

Mas agora, enquanto uma atualização está sendo liberada, ele compartilhou os detalhes do bug em uma postagem de blog. Em suma, o erro é semelhante ao segundo encontrado, e permite que os vendedores de malware possam trocar um aplicativo legítimo, por um que teve o malware adicionado a ele, tudo sem que o dispositivo possa detectar esse subterfúgio e dar um freio. O post de Freeman explica perfeitamente o problema, inclui uma PoC de um exploit para ele, e explica como o bug pode ser corrigido.

Com informações de Net-Security e Under-Linux.