توقيع تطبيقات Android يمكن تجاوزه

تطبيقات أندرويد تحمل توقيع يهدف إلى ضمان سلامة حزم APK. وأثناء التثبيت، يستخدم نظام التشغيل  التوقيع للتحقق من صحة محتويات الحزمة، وسيصدر تنبيه إذا تم الكشف عن تلاعب. Bluebox شركة أمريكية، تأسست في منتصف عام 2012، تزعم أنها اكتشفت ثغرة في هذه المقاربة  تسمح بحقن أكواد عشوائية في ملفات APK دون إبطال التوقيع. هذه الثغرة  يمكن ان تسمح للتطبيق الخبيث  الوصول إلى البيانات الفردية، أو الحصول على تأشيرة دخول إلى مؤسسة، او امتيازات الروت على أندرويد - على وجه التحديد نظام الدخول UID. ومما يضاعف من هذه المخاطر  التطبيقات التي تم تطويرها من قبل الشركات المصنعة للأجهزة (مثل HTC، سامسونج، موتورولا، إل جي ) أو الأطراف الثالثة التي تعمل بالتعاون مع الشركة المصنعة للجهاز (مثل سيسكو مع AnyConnect VPN).

الثغرة كانت موجودا على ما يبدو منذ أندرويد 1.6 ، والذي صدر قبل نحو أربع سنوات. . و قدمت سامسونج حتى الآن تحديثا لإغلاق الثغرة في غالاكسي S4 . أما جوجل فتخطط لإصلاح نسخة  نيكزس المفتوحة المصدر من أندرويد في المستقبل القريب، وأكد  Bluebox CTO. ان  التطبيقات الموجودة في  متجر غوغل بلاي  لم تتأثر؛ لأن جوجل  قامت بفحص جميع التطبيقات الموجودة  حاليا في المتجر.
من غير الواضح ما إذا كان الثغرة تؤثر علي البرمجيات  المثبتة  سواء كان عن طريق  تحديثات زائفة تحمل توقيع صحيح أو ما إذا كانت المشكلة تنشأ فقط عندما يتم تثبيت البرنامج لأول مرة. و الجدير بالذكر أن جوجل منعت التطبيقات خارج بلاي ستور من التحديث في ابريل من هذا العام.