D'après des chercheurs allemands, presque tous les téléphones équipés de l'OS de Google présentent une importante faille de sécurité.
Elle serait due à une mauvaise implémentation du protocole ClientLogin, qui sert à l'authentification des utilisateurs par diverses applications (Google Contacts, Picasa Web Albums, etc.). Sauf que les identifiants sont conservés pendant 14 jours par le système (pour pouvoir être identifié automatiquement par une application sans ressaisir ses données pendant cette période). Le problème est que, à cause d'une faille de sécurité, les informations de connexion d'une personne peuvent être volées si le terminal se connecte à un réseau Wi-Fi non sécurisé.
Il semble aussi que tous les logiciels utilisant une authentification par CLientLogin sans HTTPS (donc pas que les seules applications Google), soient vulnérables.
De là, de nombreuses dérives sont possibles : des pirates pourraient exploiter les données des API et les modifier (supprimer vos contacts, etc.)
Android version 2.3.3, et toutes ses moutures antérieures, sont concernés. La faille semble être patchée à partir d'Android 2.3.4, d'après les chercheurs, mais seulement pour Contacts et Calendar. Prudence donc avec Picasa, qui reste vulnérable.