http://juggly.cn/archives/140579.html

今回の問題は、iframe から WBE ページが読み込まれることを防ぐ X-Frame-Options ヘッダの実装に関する欠陥によって、最近報告された WebView におけるユニバーサル・クロスサイト・スクリプティング（UXSS）攻撃に対する脆弱性を持つ WEB ブラウザをインストールしている Android 4.3 （Jelly Bean）以下の端末において、攻撃者がユーザーの許可を得ずに Google Play ストアから任意のアプリをインストールして起動させることが可能になるというものです。
Google Play ストアからアプリをインストールする際は、通常ユーザーの許可（同意ボタンを押す）を得なければなりませんが、今回伝えられた脆弱性を悪用すると、それを回避することが可能になるそうです