При краже токена в полезной нагрузке будет идентификатор устройства, следовательно при запросе на обновление злоумышленник получит валидный токен, обновит его и будет пользоваться.
Написано
Войдите на сайт
Чтобы задать вопрос и получить на него квалифицированный ответ.