Независимые эксперты говорят, что более 99% смартфонов на базе Android потенциально подвержены утечке данных в случае кражи аппарата, так как хранят львиную долю персональных данных пользователей в онлайне и автоматически получают к ней доступ.

Флориан Шауб из Университета города Ульм, один из авторов отчета, говорит, что их группа детально исследовала процессы управления данными, передаваемыми на удаленные сервисы. По его словам, многие приложения без уведомления пользователей отдают удаленным сервисам Google аутентификационные ключи, так называемые Digital ID Card для конкретного приложения. После того, как токен отдан, пользователи (или злоумышленник) могут работать с сервисом и всеми данными в нем без какой-либо авторизации. Это в обычных условиях удобно для пользователей, но в случае кражи аппарата это преимущество превращается в серьезную уязвимость.

Авторы отчета говорят, что этот баг не только опасен сам по себе, он, в случае реализации, значительно затруднит поиск источников утечки информации. Более того, злоумышленники технически способны использовать токены и без кражи аппарата.

Единственным более или менее приемлемым решением тут может стать шифрованная передача токенов, которая была реализована в Android 2.3.4. Полностью проблему это не снимает, но, по крайней мере, снимает угрозу перехвата данных для авторизации.