Джорд Лукас (нет, не тот самый) сочинил подробное сообщение, в котором утверждается, что Google использует то, что он называет "ужасно сломанными" RC4 и MD5 по-умолчанию на всех шифрах SSL-соединения для устройств Android.
Он сказал, что оба этих алгоритма являются крайне небезопасными, так как они оба уже были сломаны и могут быть легко дешифрованы, но еще более странным является то, что Google привыкла использовать довольно сильные шифры DHE -RSA - AES256 -SHA до Android версии 2.2.1. Во время выпуска Android 2.3.4, RC4 и MD5 были повышены до уровня алгоритма шифрования по-умолчанию, и они до сих пор используются в последней версии Android.
Но, похоже, что подобное решение не было каким-то хитрым планом Google, призванным ослабить защиту для изворотливого продвижения RC4 и MD5. Лукас обнаружил, что во всем виноват Oracle. Инженеры компании Google просто реализовали то, что рекомендовала Java Reference Implementation (RI 6).
Лукас также отметил, что порядок алгоритмов шифрования в подавляющем большинстве устройств Android был определен компанией Sun в 2002 году и перенесен в проекты Android в 2010 году как попытка улучшить совместимость. Вопрос о том, как скоро Google поймет, что с этим нужно что-то делать, все еще остается открытым.
Чтобы написать здесь комментарий необходимо