Android cuando se loguea contra google, obtiene un token que dura hasta dos semanas.

Si bien el login lo hace con https, luego las aplicaciones transmiten el token de autenticacion por http plano, cualquiera que pueda monitorear la red, puede ver y utilizar nuestras credenciales.

Lo solucionaron en la version 2.3.4, mientras tanto, conectarse desde redes wifi pubicas o sin un buen cifrado, es una locura.

Investigadores de la Universidad de Ulm (Alemania), han descubierto
un fallo en el protocolo utilizado por algunas aplicaciones para
autenticarse en ciertos servicios de Google. El problema podría permitir
a un atacante remoto tener acceso a los servicios Calendar, Picassa y
la lista de contactos de Google de dispositivos Android.

Android es un sistema operativo basado en Linux y pensado especialmente
para dispositivos móviles que desde 2005 está desarrollado por Google.
Actualmente posee una gran cuota de mercado en este tipo de dispositivos
debido, en gran medida, a la disponibilidad libre de su código y a la
gran variedad de aplicaciones gratuitas disponibles.

El fallo descubierto se encuentra en el protocolo que usa ClientLogin,
utilizado por otras aplicaciones para identificarse en los servicios de
Google a través de un token de autenticación (authToken) que tienen
validez durante el período de dos semanas. ClientLogin obtiene este
token enviando a Google el nombre de la cuenta y la contraseña.
Lógicamente, todos estos datos viajan sobre una conexión HTTPS, bajo
SSL. Sin embargo, cuando una aplicación desea identificarse ante Google,
las peticiones que contienen este token son enviadas sobre conexiones
HTTP sin cifrar, pudiendo ser visibles por cualquier máquina que se
encuentre capturando tráfico en la misma red local. Habitualmente
Android se conecta a través de redes inalámbricas, y si esa red no
usa cifrado o utiliza un cifrado inseguro (WEP, por ejemplo), sería
equivalente a enviar las credenciales en texto plano.

Este fallo de seguridad está presente en Android 2.3.3 y versiones
anteriores. Google ha subsanado el error en la versión 2.3.4, por lo que
sería recomendable actualizar a esta versión. Sin embargo, el principal
problema ahora es que los usuarios de Android actualicen realmente su
versión para no ser vulnerables. Esta responsabilidad suele dejarse en
manos del fabricante del terminal, que personaliza las versiones del
sistema operativo. Por tanto, es necesario estar al tanto de la
actualización de cada fabricante de teléfonos y esto podría demorarse
un tiempo indefinido.

Mientras tanto, se recomienda no usar Android en redes inalámbricas no
cifradas o en las que no se confíe.”

 

via Hispasec