Découverte par Sergey Toshin, fondateur de la société Oversecured, son exploitation serait « plutôt facile ». Il explique à TechCrunch que Play Core permet aux développeurs de déployer des mises à jour et de nouveaux modules à leurs applications.

« Une application malveillante sur le même appareil Android pourrait exploiter cette vulnérabilité en injectant des modules malveillants dans d'autres applications qui s'appuient sur la bibliothèque pour voler des informations privées, telles que des mots de passe et des numéros de carte de crédit, à l'intérieur de l'application », ajoute le chercheur.

Google a confirmé de son côté, attribuant à cette brèche la note de 8,8 sur 10. Elle a été bouchée dans la version 1.7.2 de Play Core. Si ce n’est pas encore fait, il est donc recommandé aux développeurs de se mettre à jour.