Один хороший подход, который я видел в других сервисах, заключается в том, чтобы написать бэкэнд таким образом, чтобы он мог передавать данные разными типами - для Android лучше использовать XML-ответ, но для iPhone предпочтительнее отправлять обратно списки данных. (хотя он также может работать с XML, если требуется). В обоих случаях проще просто отправить POST-обновления обратно на сервер, чем обернуть обновление в XML.
Обе платформы должны иметь возможность использовать любую форму аутентификации, которую вы хотите использовать, iPhone, который я знаю, поддерживает все методы HTTP-аутентификации.