Họ đã demo về việc thay đổi mã nguồn ứng dụng mà không ảnh hưởng tới chữ kí đã được mã hóa để chèn mã độc mà người dùng không hề hay biết , tạo cơ hội để đánh cắp dữ liệu hoặc tạo Botnet . Theo các nhà nghiên cứu thì vấn đề này rất nghiêm trọng .
Bluebox giải thích , tất cả ứng dụng Android đều chứa chữ kí được mã hóa để kiểm tra chứng thực . Nhưng bằng việc dùng “master key” , tin tặc có thể chèn mã độc hại tới ứng dụng này mà không mà thay đổi chữ kí số .
Lỗ hổng an ninh này được cho là có từ Android 1.6 phát hành trong năm 2009 và Google đã được cảnh báo về điều này trong tháng Một nhưng cho tới giờ mới chỉ có Galaxy S4 mới được vá lỗi .
Các chuyên gia an ninh nói rằng tốt hơn cả người dùng hãy tải những ứng dụng Android từ những trang web tin cậy .