Der Standard-Browser der Androids vor 4.4 weißt eine Sicherheitslücke in der Umsetzung der Same-Origin-Policy (SOP) auf.

Damit kann bei mehreren geöffneten Tabs eine Angreifer-Webseite bspw. emails in einem anderen Tab kopieren und sogar Sessions-Cookies stehlen.

Es sind mittlerweile entsprechende Metasploit-Module verfügbar.
Näheres hier.

Der Lücke ausweichen können Nutzer durch die ausschließliche Verwendung von anderen Browsern wie Chrome und Firefox.

Leider können einige Web-Apps nur den Standardbrowser verwenden, allerdings erfolgt dies oft ohne weitere Tabs.