Winny jest mechanizm autoryzacji, odpowiadający za przedstawianie się telefonu w imieniu użytkownika wobec serwerów usług. Oprogramowanie telefonu wysyła (zaszyfrowanym kanałem) nazwę użytkownika i hasło, a w odpowiedzi otrzymuje kod autoryzacyjny, którym przedstawia się przy następnych połączeniach. W systemie Android wcześniejszym od wersji 2.3.4 kod autoryzacyjny odsyłany jest nieszyfrowanym kanałem i można go podsłuchać .
Wykraść kod autoryzacyjny można, jeżeli podsłucha się łączność oprogramowania telefonu z usługami, na przykład przy logowaniu do usługi za pomocą publicznej sieci WiFi. Po wykradzeniu kodu, można go przez dwa tygodnie użyć do uzyskiwaniu dostępu do odpowiednich kont.
Android 2.3.4 zamyka lukę dla większości usług (wyjątkiem jest Picasa), jednak dopóki nie pojawi się na wszystkie telefony, użytkownicy muszą sobie radzić sami. Najważniejsze - nie korzystać z sieci WiFi do której nie mamy zaufania - nie wiadomo czy sieć w kawiarni nadawana jest z routera kawiarni, czy ze stojącego w pobliżu samochodu.
Nie ma zagrożenia, jeśli mamy zaufanie do sieci WiFi, na przykład we własnym domu, albo korzystamy z transmisji GSM/3G.
