Tout a été fait à l'envers :
- les OS auraient dû prendre la voie de l'isolation maximum des composants non fondamentaux avec limitation de l'accès aux périphériques, à la Android, mais en version intelligible (ainsi même une faille grave dans un composant logiciel de confiance a un impact limité)
- le Web aurait dû être en HTTPS par défaut pour tout site personnalisé, un serveur HTTP ne pouvant donc pas recevoir ni placer un témoin (HTTP cookie)
- le mdp auraient dû être manipulés localement par le navigateur sans être jamais envoyés en clair (même sur un lien chiffré)
- Wifi "ouvert" (accès libre) chiffré par défaut (sans authentification initiale, façon TOFU)