До недавнего времени приложение «Google Поиск», которое установлено более чем на 5 млрд устройств Android, обладало уязвимостью: она могла позволить злоумышленнику украсть личные данные со смартфона жертвы.

Баг обнаружила команда компании по безопасности мобильных приложений Oversecured, основанная россиянином Сергеем Тошиным. По словам специалистов, приложение динамически загружало библиотеку с кодом, которая уже установлена на Android-смартфонах, что позволяло злоумышленнику подменить библиотеку, встроив в неё вредоносный код.

Такой манёвр позволял приложению хакера унаследовать все разрешения приложения «Google Поиск», в том числе на чтение SMS, использование микрофона и данных о местоположении, списку контактов и истории поиска.

Вредоносное приложение необходимо запустить один раз, чтобы атака сработала. Его удаление не приведёт к удалению опасных компонентов из приложения Google.

Ошибка была исправлена в мае 2021 года: у Google нет данных об успешной эксплуатации уязвимости. В сентябре 2020 года Oversecured нашла похожий баг в приложении TikTok для Android, который устранён разработчиками соцсети.