Ha root-olt a telefon, akkor nagyjából-egészéből ugyanolyan sz@r a droid mint a desktop. Viszont ellenben ugyebár desktop-on mennyivel is egyszerűbb root/admin jogot szerezni? Sőt ott elég csak a megtámadott user jogosultsági szintjét elérő program, mert az már mindent _is_ tud olvasni, amit az adott user és az általa indított alkalmazások... Desktop-on az általad indított/nevedben futó alkalmazások egyazon jogosultsággal férnek hozzá mindenhet, amihez az userednek joga van. Mobilon meg az adott alkalmazás saját usert, identitást kap, amit te tudsz futtatni - de joga nem ahhoz lesz, amihez neked van, hanem ahhoz, amihez az adott alkalmazás userének joga van.
A QR-kódban "utazó" shared secret egyszer kerül legenerálásra/megjelenítésre, onnantól az authenticator alkalmazás sajátja lesz a fáj, amiben letárolásra kerül - mobilon. Desktop esetében meg "valahova" lemented (screenshot, bármi), vagy a szöveges formátumot írod bele egy fájlba - tök mindegy, mert ezekhez egy a nevedben futó kártékony kód is hozzá fog férni.
Mobilon énmég nem láttam olyat, hogy shared secret-et valaki kézzel tapicskolta volna be... Desktop-on igen, vannak ilyen perverzek, akik papírról másolják minden alkalommal be a generáló sw-nek a shared secret-et (olyat is láttam, aki parancssorban tolta oda a totp-s alkalmazásnak, hogy "ne legyen eltárolva fájlban" - igaz, a .bash_history-ban meg ott figyelt ugye...