Google PlayのAndroidアプリの大半は、認証と承認をするようになっても、まだ十分に安全な状態には至っていないという懸念がある。 Googleのソフトウェアエンジニアであるイサベラ・チェン（Isabella Chen）氏は、2016年5月にAndroid開発ブログにおいて、現時点ではアプリの攻撃に対して脆弱のままだと書いている。

開発者らが、作成するアプリのセキュリティをできるだけ強固にするのは重要なことである。それにより、あらゆる種類の脅威から保護されるからだ。

チェン氏は、サイバー犯罪者らが脆弱なアプリを使って攻撃を仕掛けてくると考えられる可能性について、具体的なリスト化を行っている。

これには、メールやユーザーIDの改ざん攻撃や、アクセストークンの改ざんなどが含まれている。

Android上でGoogleにサインインすると、幾つかのアプリは直接、メールやユーザーIDをプレーンテキストでバックエンドサーバーにIDクレデンシャルとして送っている。チェン氏は、そう説明する。

「これらのサーバー端末は、不正コードで簡単にリクエストを差し止められてしまい、全てのユーザーアカウントへ、メールやユーザーIDを推測してアクセスすることを可能にしてしまう」

後段に言及しながらチェン氏は、このセキュリティギャップは、開発者らが継続的に、「Plus.API」(2011年に公開)または「GoogleAuthUtil.getToken」（2013年に公開）といったレガシーを用いていることによるものだと論及した。

GoogleのAndroidにログインした後に、多くのアプリは「GoogleAuthUtil.getToken」によって保護されたアクセストークンを、バックエンドのデータベースサーバーに身元保証の1つとして送信しているのだ。

アクセストークンは無記名トークンで、もしトークンがそれらに向けて発行されてもバックエンドのサーバーは容易にチェックできない。そうチェン氏は、解説を続ける。 「不正行為を行うクラッカーは、別のアプリケーションでサインインをし、別のアクセストークンをバックエンドへのリクエストを差し止めるために使用することで、結局のところフィッシング行為を行うことができるのである」

関連した話題としては、毎年恒例のGoogleの開発者向けカンファレンスであるI/Oは、セキュリティへの興味深い新事実を発表した。

例えば、最新版のモバイルOSであるAndroid Nは、メディアフレームワークの安全性確保やシームレスアップデートに加えて、ファイルベースの暗号化を推進するという。

ファイルベースの暗号化により、システムとアプリのデータに対してきめ細かい暗号化ポリシーが適用できるようになり、システムは、一部のシステムデータと登録されたアプリデータを暗号化し、起動時にこの暗号化されたデータだけにアクセスできる制限モードになる。少なくとも不正アプリによって簡単に乗っ取られないようにはなるはずだ。

また、ニュースサイト「クォーツ」（Quartz）紙によれば、Androidの開発担当の副社長であるデイヴ・バーク（Dave Burke）氏はカンファレンスにおいて、セーフティーネット（SafetyNet）機能が不正な挙動をするアプリを取り締まると語った。

こうした努力が、セキュリティを高めることに結び付いていることは間違いないが、今なおAndroidが安全であるとはっきりとした確信が持てるとも言い切れない。これから、真の意味で安心できるOSとなる日が1日でも早くやって来ることを願いたい。