Ilmuwan komputer dari North Carolina State University menguji handset dari beberapa produsen, termasuk Samsung, HTC dan Motorola dan "terkejut untuk mengetahui stok gambar ponsel ini tidak benar menegakkan izin berbasis model keamanan", mereka melaporkan dalam sebuah kertas .
Dengan tidak adanya proses pemeriksaan suatu aplikasi, ponsel Android bergantung pada model izin keamanan berbasis yang mengharuskan setiap aplikasi untuk secara eksplisit meminta izin sebelum dapat diinstal.
Kemampuan ini bocor dapat dimanfaatkan untuk menghapus data pengguna, mengirimkan pesan SMS ke nomor premium
Menurut para peneliti, mereka menggunakan "interprosedural analisis aliran data" teknik untuk mengekspos kemampuan kebocoran yang mungkin di mana sebuah aplikasi dipercaya bisa mendapatkan akses tidak sah ke data sensitif atau tindakan istimewa.
Menggunakan alat dijuluki Pelatuk, para peneliti menemukan bahwa dari 13 izin dijalankan melalui proses, 11 dari mereka bisa dimanfaatkan, dengan satu telepon individu bocor hingga delapan perizinan.
"Kemampuan ini bocor dapat dimanfaatkan untuk menghapus data pengguna, mengirimkan pesan SMS ke nomor premium, merekam percakapan pengguna, atau memperoleh geo-lokasi pengguna data pada ponsel yang terkena - semua tanpa meminta izin apapun," kata para peneliti .
