研究人员称，黑客可以使用这些证书访问用户的谷歌日历、联系人和其他应用程序。这个安全漏洞令谷歌特别尴尬，因为其很容易被发现。漏洞存在于Android 2.3.3或更早版本谷歌系统中的ClientLogin验证协议。

    通常，应用程序使用该协议需要包含用户谷歌帐户证书的认证令牌（authToken），authToken可以重复使用两个星期。但研究人员发现，使用未加密的HTTP连接和开放的无线网络，黑客很容易获得用户的authToken。

    德国乌尔姆大学的巴斯蒂安·科宁（Bastian K nings）、扬·尼克尔（Jens Nickels）和佛罗里安·绍布（Florian Schaub）称，authToken与特定的用户群或设备无关，这意味着黑客可以利用authToken改变用户的谷歌联系人、日常安排和访问任何依赖于ClientLogin的其他应用程序。

    好消息是，Android 2.3.4及以后版本的系统已解决了大部分问题，只有与Picasa同步时可能存在一些问题，但谷歌显然在解决。坏消息是，大多数Android用户使用的是易受攻击的旧版系统，Android制造商和运营商仍未及时更新。

    研究人员称，用户应避免使用无加密的Wi-Fi网络，如果必须使用这种连接到，需关掉Android的自动同步设置。他们还建议，应用程序开发者应转到更安全的HTTPS ClientLogin认证协议，谷歌应严格限制authToken的使用时间。