Diese Lücke existiert seit Jahren und ist bei Google bereits seit Februar bekannt. Es gibt keinen commiteten Fix. Deshalb wird auch CM, etc. noch davon betroffen sein.
Wenn ich das richtig verstanden habe, ist das Problem, dass wirklich jedes vertrauenswürdige Paket befallen sein kann, da durch die Manipulation nicht die Signatur beeinträchtigt wird und daraus keine Manipulation abgeleitet werden kann.
Bei solch einer Lücke ist also JEDE Installationsquelle abseits des Play-Stores (z.B. Amazon) als nicht vertrauenswürdig zu sehen.
Die Geschwindigkeit mit der Google diese massive Lücke zu beheben versucht deutet darauf hin, wie wichtig es Ihnen ist, dass Benutzer weiterhin die freie Wahl zwischen Play-Store und anderen Quellen haben. Es spielt Google doch nur in die Karten, wenn nun empfohlen wird ausschließlich den Play-Store zu verwenden, bei dem man nur noch Bewertungen abgeben kann, wenn man Google+ hat, was mich auch zunehmend ärgert. Ein Grund mehr demnächst das 'unnötige' Feature unbekannte quellen ebenfalls zu verstecken, wie bereits die USB Debugging Funktion (nützlich für ADB Pushs zum Rooten z.B.).
Und das es 99% der User nicht betrifft mag ich zu bezweifeln. Viele Rooten ihre Geräte oder installieren sich Apps die durchaus dieses 'Feature' benötigen wie z.B. Avast Mobile Security für den Diebstahlschutz.
Ich frag mich echt wieso dieses Google bei solchen Dingen unter Welpenschutz bei den meisten steht. Ein Microsoft oder Apple wäre schon längst zu Tode gebasht worden. So Formulierungen wie:
"Es gibt eine sehr kritische Sicherheitslücke, aber fürchtet euch nicht, 99% der Leute trifft es eh nicht. Beschränkt euch lediglich auf Google Apps und werdet glücklich ..."
gab es früher nie. Wenn MS ne Sicherheitslücke hätte, die alles betrifft außer MS Apps/Services ... puhh da würde es einiges an Verschwörungstheorien geben. Aber Google hat als Slogan 'Don't be evil' und dann ist sowas ausgeschlossen.