德國的研究者表示，Android應用程序會導致個人信息流出，攻擊者能夠利用漏洞對信息進行監(jiān)聽與竄改。

德國的研究者表示，美國Google公司為搭載Android的設備提供的日歷，電話簿應用程序，在信息傳輸過程中沒有進行加密，第三方能夠?qū)η閳筮M行監(jiān)聽和竄改。搭載Android系統(tǒng)的智能手機有99.7%正受到這個漏洞的影響。

根據(jù)德國烏爾姆大學的研究者公開的情報，這個漏洞是Google Calendar，Google Contacts等使用“ClientLogin”認證協(xié)議的應用程序中，通過沒有加密的HTTP連接來交換認證令牌（authToken）而導致。這將使得通過公共場所的無線LAN能簡單地監(jiān)聽到他人情報。

攻擊者使用監(jiān)聽到的認證，不僅能夠訪問日歷或通訊錄等個人信息，還能在不被引起用戶注意的基礎上竄改和刪除信息。

實際上，研究者對搭載Android的2.1/2.2/2.2.1/2.3.3/2.3.4/3.0版本的設備，測試攻擊原生的Google Calendar，Google Contacts和Gallery等應用程序。結(jié)果表明，到Android 2.3.3之前的版本，Calendar和Contacts應用程序的網(wǎng)絡請求都是通過HTTP沒有加密地傳輸，很容易受到authToken攻擊。

Android 2.3.4以后的Calendar和Contacts應用程序改為使用安全的HTTS連接，但網(wǎng)絡相冊Picasa等同步服務還是使用HTTP。

不僅標準的Android應用程序，該漏洞也波及到了使用經(jīng)HTTP傳輸?shù)腃lientLogin認證Google服務的桌面應用程序。