כל חברה המפיצה אפליקציות למערכת ההפעלה אנדרואיד (Android) מקבלת מגוגל ‘מפתח חתימה’ – פיסת קוד מוצפן המשמשת לאימות עדכונים לאותן אפליקציות. כך מגנה על עצמה מערכת ההפעלה מעדכונים מזויפים, שכן רק עדכון המכיל את אותו מפתח יותקן בהצלחה.
אולם מסתבר שדווקא האפליקציות של סמסונג (Samsung), המותקנות מראש על המכשיר וזוכות לגישות מורחבות מבחינת הרשאות המערכת, אינן מוגנות מזיופים, וזאת מפני שאותו מפתח חתימה סודי הודלף זה מכבר לרשת. סמסונג עצמה מודה כעת כי הוא זמין להאקרים כבר מ-2016, וגוגל מתריעה על כך במסגרת יוזמה שאותה הקימה לצורך פיקוח על רמת האבטחה הקיימת במכשירים המיוצרים בחברות חיצוניות.
מה שאולי מטריד יותר מעצם החשיפה והשיח שעוררה ברשת, הוא התגובה הרשמית של סמסונג. נראה שהיצרנית הקוריאנית לא מוטרדת מהמצב כלל, ואין בכוונתה לטרוח להנפיק מפתח חתימה חדש עבור האפליקציות שלה בעתיד. ״שחררנו עדכוני אבטחה שונים מאז 2016, ולא ידוע לנו על שום מקרה שבו הפרצה הפוטנציאלית הזו נוצלה״, כך לפי תגובתה הרשמית. בגוגל מסבירים כי סורק הוירוסים הכלול בתוך חנות האפליקציות, Play Protect, אמור לזהות באופן אוטומטי עדכונים שאינם אותנטיים, כך שגם מבחינתה הסכנה למשתמשים בפועל שולית.
למשתמשי המכשירים של סמסונג אין לפיכך הרבה מה לעשות, מלבד להימנע ככל האפשר מהתקנה של אפליקציות מחוץ לחנויות הרשמיות של גוגל או של סמסונג.