Dat stelt beveiligingsbedrijf Palo Alto Networks dinsdag. Ook sommige telefoons met Android 4.3 zijn kwetsbaar. Volgens de meest recente statistieken van Google draait nog ongeveer de helft van alle Android-apparaten op de getroffen versies.
Het beveiligingslek is alleen gevaarlijk bij het installeren van apps die niet uit Google Play komen. Standaard is het installeren van zulke apk-bestanden niet mogelijk op Android. Hiervoor moet de gebruiker eerst zelf eenmalig een beveiligingsinstelling aanpassen.
Door het lek kan de installatie van apps worden gekaapt en kunnen kwaadwillenden zo toegang krijgen tot meer onderdelen van het toestel dan bij installatie wordt vermeld. Bij het installeren van apps moeten gebruikers normaal gesproken toestemming geven voor toegang tot bijvoorbeeld gps-informatie of de fotogalerij, maar door het lek kunnen apps ook zonder deze toestemmingen nog gegevens inzien.
Palo Alto Networks zegt het lek in januari 2014 al te hebben ontdekt. Sindsdien is met onder meer Google en Samsung samengewerkt om patches uit te brengen voor Android en voor versies van het systeem die worden geleverd door telefoonfabrikanten.
Google heeft het lek vervolgens opgelost in nieuwere versies van Android, maar veel oudere toestellen krijgen die updates niet meer geleverd. Palo Alto brengt dinsdag een app uit waarmee Android-gebruikers kunnen checken of hun toestel getroffen is door het lek.