Google'ın Play Store'u zararlılardan arındırma çabaları büyük ölçüde sonuç verse de, mağazanın tam anlamıyla güvenli olmadığını biliyoruz. Ancak tek sorun, mağazadaki zararlılar değil. Bir Google Project Zero araştırmacısı, Black Hat etkinliğinde birçok Android'li cihazın zararlı yüklü olarak geldiğini gösterdi.
Daha önce Android güvenlik takımında çalışan ve Project Zero'da çalışmaya devam eden Maddie Stone, telefonla yüklü gelen zararlılara karşı savaşmanın neredeyse imkansız olduğunu söyledi. Bugünkü Android'li cihazlar 100 ile 400 arasında uygulama ile geliyorlar. Bir siber suçlunun, cihaz kullanıcının eline geçmeden bu uygulamalardan sadece birini zararlıyla değiştirmesi yeterli oluyor.
Bu sorun, özellikle "stok" Android yerine Android Open Source Platform (AOSP) kullanan uygun fiyatlı telefonlarda ortaya çıkıyor. Stone, Android güvenlik takımıyla çalışırken SMS ve tıklama dolandırıcılığı botnet'i Chamois'e birkaç kez rastladığını, botnet'in 2016'nın başında en az 21 milyon cihaza zararlı bulaştırdığını söyledi.
Zararlıyı ortadan kaldırmak güç oldu çünkü Mart 2018 itibariyle Google, sorundan etkilenen 7,4 milyon cihaza tedarik zincirinde zararlı yüklendiğini fark etti. 2019 itibariyle ön yüklü Chamois sayısı onda bire düşürüldü ancak devam eden başka tedarik zinciri sorunları da var.
Örneğin 225 cihaz üreticisi, uzaktan erişime olanak tanıyabilecek tanı yazılımlarını cihazda yüklü bırakırken bazıları Android Framework'ü değiştirerek, casus yazılım seviyesinde günlük kaydına olanak tanıyabiliyor veya Google Play Protect'i aşacak uygulamalar yükleyebiliyor.
Stone, tedarik zinciri zararlılarının Play Store'dan gelen zararlılara göre çok daha zor kaldırıldığını, bu alanda yeni araştırmaların yapılması gerektiğini söylüyor.