“Kết quả của chúng tôi với 8 hình ảnh điện thoại cho thấy trong số 13 quyền đặc quyền được kiểm tra cho đến nay, 11 quyền đã bị rò rỉ, với các điện thoại riêng lẻ bị rò rỉ tới 8 quyền. Bằng cách khai thác chúng, một ứng dụng không đáng tin cậy có thể quản lý để xóa dữ liệu người dùng, gửi tin nhắn SMS hoặc ghi lại cuộc trò chuyện của người dùng trên điện thoại bị ảnh hưởng – tất cả mà không cần xin phép“. Theo các nhà nghiên cứu, một số cấu hình hệ thống nhất định được các nhà sản xuất thêm vào trên hệ điều hành Android, có chứa một cửa hậu dẫn đến thông tin cá nhân này.
Quyền của Android là nền tảng của bảo mật Android và quyền riêng tư của người dùng. Ví dụ: nếu một ứng dụng yêu cầu quyền sử dụng vị trí của người dùng – có lẽ là một phần trong nỗ lực được nhà quảng cáo hỗ trợ để theo dõi hành vi trực tuyến của họ – chủ sở hữu điện thoại thông minh có thể từ chối yêu cầu đó. Tương tự như vậy, các quyền đóng vai trò là tuyến phòng thủ cuối cùng chống lại các ứng dụng độc hại có thể xuất hiện trên điện thoại của họ. Ví dụ: nếu một ứng dụng cố gắng truy cập cả Internet và sổ địa chỉ của người dùng, nhưng không cần phải làm như vậy, điều đó có thể cho thấy rằng ứng dụng được đề cập đang cố gắng đánh cắp dữ liệu và điện thoại nhà.
Để kiểm tra mô hình bảo mật thực thi quyền trên điện thoại thông minh Android, các nhà nghiên cứu đã xây dựng một công cụ có tên là Woodpecker, đưa hình ảnh của hệ điều hành Android vào kiểm tra quyền. Về cơ bản, đầu tiên họ nghiên cứu điện thoại thông minh Google Nexus One và Nexus S được cài đặt phiên bản gốc của Android cũng như Motorola Droid, đó là “gần với thiết kế Android tham chiếu,” họ nói rằng.
Các nhà nghiên cứu của trường đại học đã giải thích trong bài báo của họ, cũng như trong một video trên YouTube, rằng mã cho phép các ứng dụng này vượt qua hệ thống cấp phép của Android nằm trong các giao diện và dịch vụ mà các nhà sản xuất điện thoại thêm vào thiết bị của họ để bổ sung cho chương trình cơ sở của Google.
