A kínai Android Security Team [meglepetés kínai link] egy, a Bluebox-éhoz hasonló problémát fedezett fel az Android APK ellenőrző eljárásában. Az APK fájlok fejléce egy változó méretű mezőt ("extra field") tartalmaz, melynek aktuális méretét egy korábbi, 2 byte-os érték adja meg. Az APK ellenőrzésekor az operációs rendszer erre a 2 byte-os értékre hagyatkozva dönti el, hogy hol kezdődnek az alkalmazás fájljai, köztük a lefordított osztályokat tartalmazó classes.dex fájl. A baj az, hogy a rendszer ezt a hosszértéket előjeles shortként értelmezi, így az érték negatívba billenthető:

Forrás: H-Online, Android Security Team

Amennyiben az érték 0xFFFD, az ellenőrzés az extra field-et megelőző 3. byte-on fog kezdődni, ami éppen a fájlnevet (classes.dex) tartalmazó fejléc vége, vagyis a dex karakterlánc, ami megegyezik a .dex fájlok első három "magic" byte-jával. Ezt kihasználva egy támadó bemásolhatja az eredeti classes.dex fájlt (minusz az első három byte-ot) az extra field-be, a rendszer pedig ezt az eredeti fájlt fogja ellenőrizni, futtatni viszont az APK törzsébe elhelyezett, módosított változatot fogja.

A sérülékenység kihasználását korlátozza, hogy az extra field mérete maximum 64KB lehet, ennél nagyobb .dex-el tehát nem működik a támadás. A problémára a Google és a CyanogenMod is javítást adott ki.