Gần đây, các nhà nghiên cứu của IBM đã phát hiện ra một lỗ hổng bảo mật trong Trình duyệt của Android. Lỗ hổng này có thể bị khai thác bởi một ứng dụng không có đặc quyền để đưa mã JavaScript vào ngữ cảnh của bất kỳ miền nào. Lỗ hổng này có ý nghĩa tương tự như XSS toàn cầu, mặc dù từ một ứng dụng đã cài đặt chứ không phải một trang web khác.
Android 2.3.5 và 3.2 đã được phát hành, bao gồm một bản sửa lỗi cho lỗi này. Các bản vá hiện có cho Android 2.2.* và sẽ được phát hành sau. Lời khuyên đầy đủ có thể được tìm thấy ở đây. Trình duyệt chứa thông tin nhạy cảm như cookie, bộ nhớ cache và lịch sử và JavaScript được chèn có thể giúp trích xuất thông tin đó, gián tiếp phá vỡ kiến trúc hộp cát của Android. Cuộc tấn công khai thác lỗ hổng trong cách trình duyệt phản ứng với lệnh gọi xem trang web từ các ứng dụng khác.
IBM trình bày bằng chứng về khái niệm cho Android Cross Application scripting
