Android 2.2.1默认使用的加密算法是AES 256-SHA1,但从2010年发布的Android 2.3开始,它默认使用的是一种更弱的加密算法 RC4-MD5。当Android应用建立SSL加密连接,如果没有指定的话它将默认使用RC4-MD5进行加密。
有人可能会怀疑美国国家安全局(NSA)收买了Android开发者以降低破解加密连接监视Android用户的难度。但Georg Lukas在分析了Android源代码之后发现,默认加密算法的次序是Sun/甲骨文的Java定义的,Java规格定义的TLS安全传输协议加密算法列表中前两种为RC4和MD5,2011年发布的Java 7加入椭圆曲线加密算法改进了加密列表,但Android是基于 JDK 6,仍然沿用十年前定义的默认加密算法列表。