Printable is bad. 曰く、

Android 4.3（Jelly Bean）以前のバージョンの Android OS（4.3 を含む）に、悪意のあるコードを含むWebページをロードしただけで、Google Play ストア上の任意のアプリをインストール・実行可能な脆弱性が複数あることが判明した（Silent but violent: Foul Google Play flaw lets hackers emit smelly apps）。

攻撃の手法には、標準ブラウザ または WebView を利用したブラウザ・アプリ内の広告表示枠等で UXSS（Universal Cross Site Scripting）を行う方法の他、GPS 機能の XSS（Cross Site Scripting）脆弱性を突く方法がある（R7-2015-02: Google Play Store X-Frame-Options (XFO) Gaps Enable Android Remote Code Execution (RCE)）。

脆弱性を回避するには、下記の対策を全て行う必要がある。

• 標準ブラウザや、WebView を利用しているブラウザアプリ（Sleipnir、habit、Yahoo!ブラウザー等）を使わない。代わりに、Android 用 Opera ブラウザ、Android 版 Firefox、Chromeブラウザ 等の WebView を利用していないブラウザアプリを用いる。
• 広告の表示等に WebView を使用している可能性のあるアプリを使わない。代わりに、広告表示が無く（もしくは WebView 以外を用いて広告配信を行っている）、信頼できるアプリのみを使う。
• GPS 機能は Google マップを使う場合など、やむを得ない場合を除いて無効にしておく。また、GPS 機能を有効にする前に、不必要なアプリ（特に信頼できないアプリ）を全て終了する。

Google 公表の統計データ（2015年1月27日～同年2月2日）によると、脆弱性の影響を受けるバージョンの Android OS のシェアは、58.7% にも及ぶ。それにもかかわらず、Google は今後 Android 4.3 以前の脆弱性を修正する気はない ようなので、世界の半数以上の Android ユーザーが危険に晒され続けることになる。

情報元へのリンク