Per "sicuro" intendo specificamente: al sicuro da accessi potenziali (non autorizzati) di altre entità del sistema Android, come le applicazioni di terze parti.
Mentre è chiaro che nessuna app è sicura dagli utenti (in questo caso, l'installazione di app da fonti sospette) la sicurezza accettabile implicherebbe:
- connessioni sicure (SSL / TLS) da e verso il server
- password utilizzata una sola volta, per ottenere il token e mai memorizzata
- messaggi di posta elettronica memorizzati crittografati o un altro modo per non consentire a qualsiasi altra entità sul sistema operativo di visualizzare / modificare il suo contenuto