プリインストール済みのアプリを悪用することでパーミッション以外の動きができちゃうらしい。

しかし研究者らが4社・8種の Android スマートフォン、具体的には HTC（Legend / EVO 4G / Wildfire S）、モトローラ（Droid / Droid X）、サムスン（Epic 4G）、Google（Nexus One / Nexus S）を実際に調べたところ、すべての端末において、パーミッションを持たないアプリであっても、一部の権限を利用できたとのこと。どの権限が利用できたかは端末によりますが、たとえばHTC端末3種では音声の記録（通話データの記録も可）や SMS 送信、Epic 4G では端末データのクリアといった、ちょっと見過すことはできないようなことが実行できてしまっています。
分析の中で研究者らが利用したのは、プリインストール済のアプリを利用する方法。権限を持たない（悪意のある）アプリが、権限を持つプリインストール済のアプリの機能を活用することで、本来はできないことをやってしまうというのが、手法の概略です。端末によって利用できてしまう権限に差があるのはそのため。本家 Google の Nexus シリーズまでアプリ削除の権限について問題を抱えてしまっています。
この手法を悪用すれば、端末によっては、パーミッションはなにも求めていなかったのに、通話を記録したり、SMSを送信したり、端末データを消してしまうアプリができてしまうということになります。今回調査されたのは8端末だけですが、そのすべてでなんらかの問題が見つかったことから、研究者らは市場にある多くの Android 端末が同じ問題を抱えているのではないかと推察しています。すでに Google とモトローラは問題を確認済。もとより Android には端末アップデートがなかなか継続して提供されない「分断」問題がありましたが、このようなセキュリティ問題が絡んでくると、アップデートの来ない状況はますます深刻になります。

一部の Android 端末でアプリ権限を迂回できる問題、端末データの削除など - Engadget 日本版