私もあなたもみんな持ってるAndroidですけど...　暗号化されてないネットワークでサイトにログインすると、Android端末の99%は中見られちゃう可能性があるそうな！

この脆弱性を見つけたのは独ウルム大学のリサーチャーたち。

Android 2.3.3以前のバージョンでは、データAPIにアクセスする時に必要な「ClientLogin」と呼ばれる認証プロトコルの実装が適切に行われてないらしく、このClientLoginを使ってるカレンダ・連絡先などのGoogleサービスやサードパーティーのTwitterやFacebookなどのアプリにログインすると、その認証トークンが14日間も保存され（もっと短くしないと！）、ノウハウ知ってる人はそれを悪用して他人のアカウントに侵入できてしまう、というわけ。

「この認証トークンを大量に集めたい攻撃者は、暗号化されてないワイヤレスネットワーク（T-モバイルやAT＆Tワイヤレスやスタバの接続環境など）でよく使われるSSID（evil twin）でWiFi接続ポイントを立ち上げればできる。...Android携帯はデフォルトで「既知のネットワーク」に自動的に接続する設定になっており、アプリも直ちに同期を試みる。同期はおそらく失敗する（攻撃者がリクエストを転送しない限り）が、攻撃者は同期を試みたサービスひとつひとつの認証トークンを回収することが可能」（研究チーム）