È presente all'interno del kernel Linux 3.8 dal 2013, ma è stata individuata solo ora. Si chiama CVE-2016-0728 ed è una falla nella sicurezza del sistema operativo open source che, potenzialmente, può mettere a rischio milioni di computer e server in tutto il mondo, ma anche il 66% dei dispositivi Android. Svelata dal sito Percepiton Point, la vulnerabilità sfrutta la funzionalità portachiavi del sistema operativo, cioè quella che consente al sistema di immagazzinare dati d'accesso, token d'autenticazione e altre informazioni sicure all'interno di un file che non può essere aperto dalle applicazioni.

Secondo il rapporto di Perception Point, per sfruttare la falla basta un semplice codice da 150 linee, attraverso il quale è possibile inserire applicazioni malevole in grado di sbloccare tutti i permessi di sistema. Un pericolo che minaccia sia Linux che Android, dove peraltro basta una semplice applicazione per infettare un dispositivo. Per sfruttare il bug su Linux, invece, bisogna avere accesso locale al sistema. Gli unici al sicuro sono i terminali che hanno abilitato SELinux, un kernel di Linux più sicuro di quello classico. Una patch per chiudere la falla è già stata rilasciata, ma, soprattutto in ambiente Android, dovrà essere adottata da tutti i produttori prima di poter chiudere definitivamente il problema.

Google è comunque già intervenuta sul tema, minimizzando un problema che nelle prime ore sembrava mettere in grave pericolo milioni di dispositivi e definendolo "decisamente più contenuto rispetto alle stime iniziali". Per quanto riguarda i device Android, Big G specifica che nessun Nexus è vulnerabile, così come non lo sono i dispositivi dotati di Android 5.0 Lollipop o superiore. Anche la maggior parte degli smartphone e tablet basati su Android 4.4 KitKat e precedenti non contengono il codice che ha generato la vulnerabilità, quindi l'ipotesi iniziale del 66% di device a rischio sembra non essere più realistica. Entro il 1° marzo 2016, inoltre, tutti i produttori saranno obbligati ad introdurre la patch di sicurezza che risolve (anche) questo problema.