Уязвимость-то, в общем, ерундовая — злонамеренное приложение может записать звук и происходящее на экране без уведомления владельца. То-есть, чтобы сработало, надо ставить это самое злонамеренное приложение. Но КМК, на самом деле тут подчёркивается проблема не с наличием багов (баги есть везде, в том числе и в iOS), а в том, что из-за зоопарка производителей и отсутствия единоначалия баги лечатся очень неравномерно. Если у тебя Гугл Пиксель, то без проблем. А если укитаенный в Китай китайский телефон, купленный за двадцатку на Алиэкспрессе — то упс. И последних, из-за цены, намного больше — по прикидкам в статье, уязвимых телефонов около 78%.