Oui c'est tres choquant mais apparement les seeds sont stockées en clair(!).
Il suffit d'aller dans ce repertoire si le tel est rooté /data/data/com.google.android.apps.authenticator2/databases/databases avec un db explorer.
Je ne vois pas tellement en quoi c'est choquant. Dans la mesure où tu n'as pas de mdp à l'accès à l'application celle-ci peut difficilement se permettre de crypter ça comme elle l'entend.
Ensuite comme tu le dis bien il faut que le téléphone soit rooté pour ce faire. Et j'imagine qu'il faut des accès privilégiés pour y accéder. Donc rien d'anormal jusqu'ici.