Недавно исследователи из IBM обнаружили в браузере Android уязвимость, которая может быть эксплуатирована непривилегированным приложением для внедрения JavaScript кода в контекст любого домена. Данная уязвимость имеет те же последствия, что и XSS, хотя здесь речь скорее идет об установленном приложении, а не о другом сайте.

Новые версии Android 2.3.5 и 3.2 содержат фикс для этого бага. Патчи для Android 2.2.* и будут выпущены позднее. Полный информационный бюллетень можно найти здесь. Сам браузер хранит важную информацию, такую как куки, кэш и историю, и внедрение JavaScript кода делает возможным изъятие данной информации, косвенно нарушая архитектуру песочницы Android. Атака эксплуатирует уязвимости в том, как браузер реагирует на запросы просмотра веб-страниц от других приложений.