Lỗ hổng này cho phép các ứng dụng bỏ qua các quyền truy cập vào thông tin được tìm thấy trong các chương trình phát sóng hệ thống. Điều này bao gồm tên mạng Wi-Fi đang được sử dụng bởi một thiết bị, BSSID, địa chỉ MAC thiết bị, thông tin máy chủ DNS và địa chỉ IP cục bộ.
Hơn 99,9% thiết bị Android đang gặp lỗ hổng bảo mật.
Với thông tin này, một ứng dụng độc hại có thể xác định vị trí, định vị địa lý và theo dõi bất kỳ thiết bị Android nào tới địa chỉ đường phố. Ngoài ra, một hacker có thể dựa vào một mạng Wi-Fi mở và tấn công thiết bị kết nối với nó.
Có một số tin tốt và tin xấu về lỗ hổng này. Tin tốt đó là Google dường như đã sửa lỗi này trong bản cập nhật Android 9.0 Pie. Tin xấu là chỉ chưa đầy 0,1% người dùng Android hiện đang chạy phiên bản Android mới nhất trên điện thoại của họ. Quan trọng hơn, Nightwatch Cybersecurity nói rằng Google không có kế hoạch sửa lỗi này trên các phiên bản hệ điều hành cũ hơn.
Không chỉ các thiết bị Android cũ chạy các bản dựng trước Pie dễ bị tổn thương với lỗ hổng này mà các thiết bị được hỗ trợ bởi một phiên bản sửa đổi từ Android cũng bị ảnh hưởng. Ví dụ Fire Phone và Fire Tablet của Amazon sử dụng hệ điều hành sửa đổi của Google, mặc dù dựa vào các ứng dụng và nội dung từ Amazon thay vì Google.
Chỉ gần 0,1% thiết bị Android hiện nay được cập nhật lên Android Pie để miễn nhiễm lỗ hổng.
“Hệ thống phát sóng bởi hệ điều hành Android phơi bày thông tin về thiết bị của người dùng cho tất cả các ứng dụng đang chạy trên thiết bị. Điều này bao gồm tên mạng WiFi, BSSID, địa chỉ IP cục bộ, thông tin máy chủ DNS và địa chỉ MAC. Một số thông tin (địa chỉ MAC) này là không còn có sẵn thông qua API trên Android 6 trở lên và các quyền bổ sung thường được yêu cầu để truy cập phần còn lại của thông tin này. Nhưng bằng cách xem lén các chương trình phát sóng này, bất kỳ ứng dụng nào trên thiết bị cũng có thể nắm bắt thông tin này”, báo cáo của Nightwatch Cybersecurity nói.
Vì Google quyết định không bảo vệ các phiên bản Android cũ hơn và số lượng bản cập nhật Android 9.0 Pie bị hạn chế khiến lời khuyên tốt nhất dành cho người dùng là không tải lại bất kỳ ứng dụng không chính thức nào có thể lợi dụng lỗ hổng.
Không phải Peppermint, Pancake hay Pop-Tarts, chữ P trong Android 9 P là viết tắt của Pie.