Oui c'est tres choquant mais apparement les seeds sont stockées en clair(!).
Il suffit d'aller dans ce repertoire si le tel est rooté /data/data/com.google.android.apps.authenticator2/databases/databases avec un db explorer.
Je ne vois pas tellement en quoi c'est choquant. Dans la mesure où tu n'as pas de mdp à l'accès à l'application celle-ci peut difficilement se permettre de crypter ça comme elle l'entend.
Ensuite comme tu le dis bien il faut que le téléphone soit rooté pour ce faire. Et j'imagine qu'il faut des accès privilégiés pour y accéder. Donc rien d'anormal jusqu'ici.
J'ai vérifié, en effet on peut récupérer les clés Google auth sur un téléphone rooté.
J'y connais rien en téléphone: j'imagine que "rooter" un téléphone signifie que l'on perd toutes les données. Si je perds mon téléphone non rooté, un malfaisant qui veut rooter mon tél, n'aura plus accès aux fichiers Google auth ?
Ça craint car certains se servent de leur téléphone pour accéder aux exchanges et peuvent avoir enregistrer leurs mots de passe.