Das Team hat eine solche App für seine Versuche entwickelt – ein simples Spiel, für das man auf verschiedene Punkte des Bildschirms tippen muss. Die App startet dann aber eine reguläre App aus dem Hintergrund, etwa einen Internetbrowser, die sich transparent über die Spiele-App legt. Nutzer gehen den Forschenden zufolge dann davon aus, sie befänden sich in der Spiele-App, stattdessen tippen sie aber auf der darüberliegenden, unsichtbaren App. Damit könnte man der betrügerischen App Zugriff zum Mikrofon oder der Kamera des Smartphones gewähren, eine Banking-App öffnen oder Daten auf dem Handy löschen.

Der Untersuchung nach waren rund drei Viertel von 100.000 Apps im Android-Playstore anfällig für die Sicherheitslücke. Bis jetzt wurde sie aber offenbar noch nicht ausgenutzt.

Das Team hat nach eigenen Angaben die Android-Entwicklung kontaktiert. Bei den Browsern Google Chrome und Firefox soll die Sicherheitslücke bereits geschlossen worden sein.

Als präventive Maßnahme empfehlen die Forschenden, keine Apps zu installieren, deren Herkunft nicht vertrauenswürdig erscheint. Zudem könne man meist an den Symbolen in der Statusleiste des Handys erkennen, wenn auf die Kamera oder das Mikrofon zugegriffen werde.

Und indem man App-Animationen, etwa ein langsames Einblenden oder Hereingleiten deaktiviere (in den Einstellungen unter "Bedienungshilfen", "Farbe und Bewegung") könne man die Wahrscheinlichkeit mindern, dass eine Hacker-App beim Start auch heimlich eine andere App öffne.