Androidの認証情報を盗み取ることで、ユーザーの個人情報を自由に盗み見ることが可能になる脆弱性が存在すると、ある研究者らは警告している。それによれば、カレンダーやコンタクトなどのAndorid標準アプリが認証を行う際に発行するトークンが暗号化されない状態で送受信されており、これを盗むことでGoogleサービスへの出入りが自由になるという。対策が施されているのはAndroid 2.3.4以降のバージョンであり、結果的にAndroidユーザーの99.7%が同種の被害に遭う可能性があるという。
同件を報告しているのはドイツのウルム大学の研究者らだ。それによれば、Google CalendarやContactsといったAndroidアプリでは、ClientLoginという仕組みを使ってGoogleサービスへのアクセスを行っている。通常であれば、このClientLoginにおける認証トークンはhttpsによる暗号化通信で送受信されるが、もしhttpによる暗号化なしの状態でやり取りが行われた場合、その通信内容が第三者によって読まれる可能性が出てくる。例えば公共のホットスポットなど、httpの通信で特定のサービスへとアクセスした場合、攻撃者が情報を読むのは比較的容易だ。研究者らが盗んだ状態のトークンを使ってGoogleサービスへのアクセスを試みたところ、トークンの期限が切れる2週間にわたって問題なく前述のカレンダーのような個人情報を読むことが可能だったという。
そこでさらに踏み込んで、Android 2.1、Android 2.2、Android 2.2.1、Android 2.3.3、Android 2.3.4、Android 3.0の各バージョンと、Calendarアプリ、Contactsアプリ、GalleryアプリのPicasa Syncの間で暗号化通信の状況を調べたところ、2.3.3以前のプラットフォームはすべてhttpによるセッション通信が行われており、暗号化はされていなかった。2.3.4と3.0ではhttpsによる暗号化通信が行われていたという。GalleryアプリのPicasa同期機能は2.3.3以降のバージョンで対応したものだが、2.3.3では前述の通りセッションの暗号化は行われておらず、2.3.4においてもPicasaについては暗号化による認証は行われていなかったという。現状でAndroid 2.3.4はGoogleのNexusシリーズなどごく限られた端末にしか提供されておらず、事実上アップデートでは対応できない。
研究者らが対応策として提示しているのは、とりあえず暗号化の行われていない無線LAN環境への接続を控えること、そして上記アプリでの自動同期を切るなどの対策だ。Googleでは、Google Docs APIなどすでに一部のサービスAPIでのhttps認証を必須事項としており、この種のアクセスにおけるリスクは今後減る見込みだ。またGoogle側の緊急対策として認証トークンの期限を短くする、サービス側ではoAuthなどの別の認証手段を用いることでリスクを軽減することなどを挙げている。またGalleryアプリの開発はGoogleではないため、この問題を認識していなかった可能性を指摘している。