脆弱性はOTAによるアップデート時に暗号化通信が行われないというものだが、実行を隠す複数の方法が使用され、CERT/CCは「挙動はもはやrootkitだ」と指摘している。 米カーネギーメロン大学のCERT/CCは11月17日、中国企業のRagentek Technology製ファームウェアを採用するAndroid端末に深刻な脆弱性が見つかったとして、情報を公開した。 脆弱性は、無線経由でファームウェアをアップデート(Over The Air=OTA)する際に暗号化通信が行われないというもの。中間者攻撃の手法によってリモートの第三者がroot権限で任意のコードを実行できるという。共通脆弱性評価システム(CVSS)による危険度は、CVSSバージョン2で「9.3」、同バージョン3で「8.1」(最大値は両バージョンとも10.0)と高い。 CERT/CCによれば、脆弱性のあるアップデートのプログラム