这个安全漏洞的关键就是平台证书。谷歌员工和恶意软件逆向工程师卢卡兹・塞维尔斯基（Łukasz Siewierski）率先发现了这个证书问题，他表示这些证书或签名密钥决定了设备上安卓版本的合法性。供应商也使用这些证书来签署应用程序。

虽然安卓系统在安装时为每个应用程序分配了一个独特的用户 ID（UID），但共享签名密钥的应用程序也可以有一个共享的 UID，并可以访问对方的数据。而通过这种设计，与操作系统本身使用相同证书签署的应用程序也能获得同样的特权。

而问题的关键是，部分 OEM 厂商的安卓平台证书泄露给了错误的人。这些证书现在被滥用于签署恶意应用程序，使其具有与安卓系统相同的权限。这些应用程序可以在受影响的设备上可以不和用户交互，直接获得系统级权限。因此安卓设备一旦感染，就能在用户不知情的情况下获取所有数据。