15.10 // Ослабленная криптография в Android SSL
По словам автора приложения APRSdroid, начиная с Android 2.3 при установке SSL-соединения вместо использовавшейся ранее комбинации алгоритмов шифрования и хэширования AES256 и SHA1 первой стала предлагаться[link1] значительно более слабая комбинация из RC4 и MD5.
Причиной этого, судя по всему, является замена в версии 2.3 ранее используемого списка приоритетов алгоритмов из OpenSSL на стандартный список из Java 1.6, который не слишком менялся со времен Java 1.4.0 (2002 год). Уже в 2011 году в Java 7 криптография была значительно усилена, но Android по-прежнему сохраняет приверженность решениям десятилетней давности.
Вопрос, была ли причиной злонамеренность или просто некомпетентность, остается открытым.
Источник: BugTraq.ru[link2]
[link2] http://bugtraq.ru/rsn/archive/2013/10/04.html