Apesar do meu ceticismo em relação à possibilidade de o Google efetivamente corrigir a falha de login em toda a enorme base de aparelhos com o Android, o Google anunciou uma solução parcial para o problema, corrigindo a vulnerabilidade no Calendário e Contatos.
O Google se salvou de precisar aplicar o patch em cada um dos aparelhos com versões do sistema anteriores ao 2.3.4 desenvolvendo um server-patch, que será silenciosamente aplicado nos servidores ao longo dos próximos dias e entrará automaticamente em efeito sem que precisem ser feitas atualizações nos aparelhos. Isso sugere que o sistema na verdade previa a encriptação do token de autenticação, mas por motivos diversos ela não estava sendo usada.
A solução do Google resolve parte do problema, atendendo a dois dos principais aplicativos, mas ela ainda não solução a questão no Picassa e em aplicativos de terceiros, onde a vulnerabilidade continua presente. Ela também não endereça as dúvidas em relação à real upgradeabilidade do sistema: com tantas versões diferentes do sistema em uso e tantas operadoras, será que o Google possui uma forma efetiva de atualizar todos os aparelhos caso um bug grave seja descoberto?