Android 2.2.1 默认使用的加密算法是 AES 256-SHA1,但从 2010 年发布的 Android 2.3 开始,它默认使用的是一种更弱的加密算法 RC4-MD5。
当 Android 应用建立 SSL 加密连接,如果没有指定的话它将默认使用 RC4-MD5 进行加密。有人可能会怀疑美国国家安全局(NSA)收买了 Android 开发者以降低破解加密连接监视 Android 用户的难度。
但 Georg Lukas 在分析了 Android 源代码之后发现,默认加密算法的次序是 Sun/甲骨文的 Java 定义的,Java 规格定义的 TLS 安全传输协议加密算法列表中前两种为 RC4 和 MD5,2011 年发布的 Java 7 加入椭圆曲线加密算法改进了加密列表,但 Android 是基于 JDK 6,仍然沿用十年前定义的默认加密算法列表。