Il s'agit d'une faille dans WebKit connue par Google, dont le porte-parole Jay Nancarrow explique qu'elle « n'affecte pas Android 2.2 et plus ». Problème : selon Google, 64 % des téléphones équipés d'Android utilisent justement Android 1.5, 1.6 ou 2.1, et sont donc vulnérables. Cette faille ne permet d'accéder qu'aux données auxquelles le navigateur a accès : « vous avez le contrôle de la carte SD », explique Keith, qui a rendu sa faille publique. On peut aussi accéder aux photos, mais pas à plus, le navigateur des anciennes versions d'Android n'implémentant par les Device APIs de la plateforme HTML5, qui permettent par exemple l'accès aux SMS ou au carnet d'adresses.
De manière générale, cette faille pose la question de la sécurité sous Android : la faille dans PCRE qui a valu 10.000 $ à Charlie Miller a été réglée dans WebKit, mais pas sur Android. Coverty Scan aurait aussi découvert 88 failles « majeures » dans Android 2.2. Quand les failles sont bouchées, elles ne le sont qu'avec la dernière version de l'OS, mais c'est un reproche que l'on pourrait aussi faire à Apple (qui a laissé une partie des appareils iOS sur le carreau avec iOS 4) ou RIM.
Mais contrairement à iOS où tous les appareils peuvent être mis à jour immédiatement (et où en cas de problème majeur, Apple pourrait proposer une mise à jour iOS 3 et iOS 4, comme elle le fait parfois pour Mac OS X), c'est loin d'être le cas sous Android, où les opérateurs et les fabricants sont un frein à la mise à jour, puisque le processus est décentralisé sur Android — certains appareils sont d'ailleurs vendus sous une version de l'OS de Google qui n'est pas la dernière en date, un comble. Un autre aspect de la fragmentation d'Android sur lequel Google devra bien, à un moment ou à un autre, se pencher.