Um post escrito por George Lukas (não, não é George Lucas) detalhou a criptografia presente nas novas versões do Android e, de acordo com Lukas, ela é "horrivelmente quebrada". O motivo para a falta de segurança seria o uso das cifras SSL RC4 e MD5, ambas consideradas defasadas, nas conexões dos aparelhos com sistema da Google.
Avançando na análise do código do sistema, é possível concluir que nem sempre o Android utilizou cifras de baixa segurança em suas conexões. Segundo o artigo, versões mais antigas como a 2.2.1 vinham com o padrão AES256-SHA1, e a mudança ocorreu na versão 2.3.
O motivo do uso de uma cifra insegura seria o culpado de sempre (quando não é o Flash): o Java. Verificando a documentação de implementação do Java (RI 6), estas cifras são as recomendadas desde 2002 (nos tempos de Sun, ainda). Neste caso, a Google acabou utilizando este padrão para se adequar as sugestões, que em teoria facilitam a compatibilidade entre aparelhos. Além do sistema, o navegador padrão do Android também utiliza esta cifra insegura. Curiosamente, o Chrome "se escapa" da confusão, utilizando AES256-GCM e SHA384.
As cifras, ou cypher, são os algoritmos responsáveis pela criptografia de uma mensagem. Eles são os procedimentos para transformar uma mensagem e codificá-la de uma forma que, se alguém interceptar a comunicação, não possa tirar dados ou interferir. O padrão RC4 já é considerado defasado, sendo presente em protocolos inseguros como o WEP (sim, aquele que você não deve usar em seu roteador), enquanto o MD5 foi "quebrado" em 2009.
Fonte: Adrenaline