http://www.itmedia.co.jp/news/articles/1307/04/news030.html
http://bluebox.com/corporate-blog/bluebox-uncovers-android-master-key/
署名を保ったままコードの改ざんが可能。

　この脆弱性は、「暗号を使ってAndroidアプリケーションを認証／インストールする方法における矛盾」に起因するとBlueboxは説明。Android 1.6がリリースされた時点から脆弱性が存在しており、過去4年の間に発売された約9億台の端末に影響する可能性があると指摘する。

Vulnerability allows attackers to modify Android apps without breaking their signatures - Duo Security, Bluebox Security, mobile, spyware, Exploits / vulnerabilities, data protection, malware, mobile applications, samsung, Android OS, Google, security, mobile security, Access control and authentication - CIO
http://www.cio.com.au/article/466577/vulnerability_allows_attackers_modify_android_apps_without_breaking_their_signatures/
S4, GooglePlayでは対応済み。