(Note: Le titre est trompeur: Il n'y a aucun master key découverte.)
Oh tiens, une petite faille de sécurité dans les 900 millions de terminaux Android: On peut modifier un APK (une application) sans que cela invalide sa signature crypto, aussi bien vis-à-vis des appareils que de l'AppStore lui-même. Cela permet également à l'application d'accéder à *TOUT* dans le téléphone.
Google a été informé de la faille en Février 2013, mais étant donné que les fabricants de téléphones et les opérateurs mettent des plombes à déployer les correctifs, vous pouvez imaginer que la plupart des téléphones Android ont encore cette faille béante.
EDIT: les détails chez Naked Security:
http://nakedsecurity.sophos.com/2013/07/10/anatomy-of-a-security-hole-googles-android-master-key-debacle-explained/