Android è essenzialmente un'enorme macchina virtuale Java. C'è il sistema operativo principale, il kernel che esegue un sistema di virtualizzazione chiamato Dalvik, e Dalvik gestisce un sacco di applicazioni. Java è facile da sfruttare, molti bug sono stati scoperti dal lancio di Androids che permette di uscire da sandbox dalvik, puoi google "Android dalvik CVE" o "Android JVM CVE" per vedere alcuni esempi. A causa di ciò, tutta la sicurezza sottostante di Linux è resa meno efficace. Nel 2010 i ricercatori di sicurezza sono stati in grado di caricare un'app di gioco Uccelli Angry dannosi su Android Marketpkace che scarica in modo invisibile altre app senza le autorizzazioni degli utenti. Sì, Android PU CAN essere temprato per sicurezza, ma non senza compromettere l'esperienza dell'utente.