Por "seguro" quiero decir específicamente: a salvo del acceso potencial (no autorizado) de otras entidades del sistema Android, como aplicaciones de terceros.
Aunque está claro que ninguna aplicación está a salvo de los usuarios (en este caso, instalar aplicaciones de fuentes sospechosas) la seguridad aceptable implicaría:
- conexiones seguras (SSL / TLS) hacia y desde el servidor
- contraseña utilizada solo una vez, para obtener el token, y nunca almacenada
- mensajes de correo electrónico almacenados encriptados u otra forma de rechazar cualquier otra entidad en el sistema operativo de ver / alterar su contenido