Она связана с применением идентификационного протокола ClientLogin. При введении пользователем данных для идентификации на защищенных паролем сервисах, создается цифровой ключ (authToken), передаваемый в виде простого текстового файла, который может быть перехвачен. Благодаря этом злоумышленник может, например получить полный доступ к календарю, контактным данным, или частным веб-альбомам пользователей Google и просматривать, изменять или удалять любые контакты, события календаря, или частные фотографии, пояснили ученые. Кроме того, можно незаметно изменить адреса электронной почты начальника своей жертвы или деловых партнеров с целью перехватывания писем, содержащих важную или конфиденциальную бизнес-информацию.
Поскольку период действия authToken длится до двух недель, в докладе отмечается, что злоумышленник может собирать их в больших масштабах, используя для этого небезопасные беспроводные точки доступа, расположенные в общественных местах. Исследователи призывают Google ограничить срок действия authToken, а также отказаться от использования небезопасных соединений для протокола ClientLogin.