標準的なSDKだけでアプリ開発する場合パフォーマンスや最新機能が使えない為C/C++のライブラリを利用する場合がある

使用ライブラリによってはパッケージに組み込まれてバージョンがわからなくなってる物がある

※代表的なライブラリ
・OpenSSL
・OpenCV
・SQLite/SQLCipher
・Zlib

OpenSSLでJNI使用時に別のパッケージやBoringSSLがロードされることがある

OpenCVをビルドせず上流パッケージのものをそのまま使用する場合の脆弱性問題

最新機能の為にC/C++の利用を図る場合
C/C++のネイティブアプリはDEXにアクセスできない為自前のSQLを用意しなければならない

GitHubのライブラリ(libpl_droidsondroide.gif.so)がセグメンテーションフォールトが発生する古いバージョンであったり

と言った箇所の脆弱性問題があるけど、ここら辺はソースコードのみで簡単に把握出来ない(ライブラリルーチンのソースコードが必要ない為)

ソースコードが公開されている(OSS)からと言ってビルド/署名済みアプリ入れる=ライブラリ側の脆弱性は不透明なのでアプリベンダー側が気付かなければほとんどの場合そのまま利用することになる


上記の脆弱性がある場合、第三者の悪意ある者はソースコードが公開されているので容易にクラッキングが可能