http://www.itmedia.co.jp/enterprise/articles/1105/18/news020.html

この脆弱性はGoogle CalendarやGoogle Contactsなど「ClientLogin」という認証プロトコルを使っているアプリケーションで、暗号化されないHTTPを介して認証用トークン（authToken）がやり取りされている問題に起因する。これは公衆無線LANを介して他人が簡単に情報を傍受できてしまう状態だという。

Android 2.3.4以降のCalendarとContactsアプリケーションではセキュアなHTTS接続が使われるようになったが、WebアルバムPicasaの同期サービスでは依然としてHTTPが使われているという。

https://code.google.com/intl/ja/apis/accounts/docs/AuthForInstalledApps.html