这一研究报告来自移动安全技术公司Bluebox Security。该公司的研究人员表示，问题出在Android检查应用验证代码的方式上。黑客可以通过制造一个冒牌的验证代码，令他们伪装成为一个具有良好口碑的应用程序。这一转变可以让他们在移动设备中自由进入，并窃取数据。

 

　　Bluebox Security首席技术官杰夫•弗里斯托(Jeff Forristal)说，“我们已经基本上发现了创建假冒‘身份证’的方法，多个不同的领域都存在创建假冒身份的问题。”

 

　　假冒身份缺陷影响包括Android 2.1(发布时间是2010年1月份)及以上版本，Android 4.4 KitKat已经修正了该缺陷。市场研究公司Gartner的数据显示，在2012-2013年，Android设备销量约为14亿，预计今年Android设备销量将达到11.7亿。这些数据从侧面反映了假冒身份缺陷的影响范围之广。

 

　　假冒身份缺陷的披露表明了安全研究人员和Google合作披露安全缺陷的方式，它还表明了修正Android缺陷的复杂性，因为补丁软件不仅需要得到Google，还需要得到应用开发商和设备厂商的参与。

 

　　弗里斯托称，Bluebox 3月末完成了假冒身份缺陷的研究工作，3月31日向Google通报了该缺陷。Android安全团队4月份开发了补丁软件，并发布给厂商，厂商有90天时间部署补丁软件，而后Bluebox才对外披露了该缺陷。Bluebox对约40款Android设备进行了测试，发现迄今为止只有一家厂商部署了修正假冒身份缺陷的补丁软件。

 

　　对于Bluebox Security发现的安全漏洞，谷歌表示已经向所有的合作伙伴以及Android开放源代码项目发送补丁。此外，谷歌在声明中还称：“我们已经扫描了Google Play中所有提交的应用，目前尚无发现有人利用这一漏洞的证据。”