Нелегитимный сертификат позволяет вредоносному приложению вырваться за пределы так называемой «песочницы» (sandbox). Это изолированный ареал обитания низкоуровневого приложения, который ограничивает доступ к другим приложениям и важным элементам Android. Но если приложение притворяется Adobe Flash или Google Wallet, оно может получить доступ ко всем вашим приложениям под видом флеш-плагина — или к вашим кредитным данным под видом платежного NFC-приложения.
По словам Bluebox Security (намеренной продемонстрировать Fake ID в действии на конференции хакеров Black Hat, которая пройдет 2–5 августа), уязвимость присутствовала в Android с версии 2.1 и с 2010 года. В Android 4.4 вредоносным приложениям не так легко вырваться из песочницы (помимо вышеописанных примеров). Но сама уязвимость оставалась незаткнутой во всех версиях Android после 2.1 — включая Android L.
30 июля Google отреагировала на находку патчем, изменениями Google Play и процедуры верификации приложений. Также представители компании уверяют, что они «просканировали все приложения Google Play и не нашли в них следов эксплуатации уязвимости». Патч (о содержании которого ничего не говорится) предназначен не для самих пользователей, а для «партнеров Google», которые должны будут довести его для конечного потребителя.