Georg Lukas นักพัฒนาโอเพนซอร์สรายหนึ่งสำรวจการทำงานของแอนดรอยด์แล้วพบพฤติกรรมที่แปลกของแอนดรอยด์คือการเลือกใช้กระบวนการเข้ารหัสแบบ RC4-MD5 ซึ่งค่อนข้างอ่อนแอ จึงได้สำรวจดูว่าพฤติกรรมเช่นนี้เป็นมานานเพียงใด และพบว่าแอนดรอยด์ถูกปรับให้ใช้การเข้ารหัสที่อ่อนแอลงตั้งแต่รุ่น 2.3.4 เป็นต้นมา

ใน Android 2.2.1 นั้นกระบวนการเข้ารหัสแบบ SSL ของแอนดรอยด์จะเลือกใช้ตามรายการของ OpenSSL ซึ่งจะเลือกกระบวนการที่แข็งแรงอย่าง DHE-RSA-AES256-SHA ก่อนรายการอื่น ส่วนรายการที่ค่อนข้างอ่อนแออย่าง RC4-MD5 นั้นจะอยู่ท้ายๆ รายการ ทำให้การเชื่อมต่อมักเลือกการเชื่อมต่อที่แข็งแกร่งก่อนเสมอ แต่นับจาก Android 2.3.4 และ Android 4.2.2 เป็นต้นมา รายการการเชื่อมต่อก็กลับข้างกลายเป็นกระบวนการที่อ่อนแอถูกเลือกใช้งานก่อนเสมอ

รายการนี้เป็นค่าเริ่มต้นที่โปรแกรมเมอร์สามารถเลือกกระบวนการอื่นๆ ได้ แต่ในความเป็นจริงโปรแกรมเมอร์มักใช้รายการตามค่าเริ่มต้นมาเป็นปกติ ส่วนทางฝั่งเซิร์ฟเวอร์นั้นมักเปิดรับการเข้ารหัสหลายแบบเพื่อรองรับเครื่องรุ่นเก่า และมักเชื่อตามรายการการเข้ารหัสที่เครื่องรับได้

รายการนี้เป็นเฉพาะการเรียกฟังก์ชั่น getDefaultCipherSuites ในโค้ดจาวาเท่านั้น สำหรับเบราว์เซอร์เองยังมีกระบวนการเลือกการเข้ารหัสที่แข็งแรงเหมือนเดิม โดยเริ่มต้นจาก ECDHE-RSA-AES256-SHA สำหรับนักพัฒนาทั่วไปสามารถเลือกกระบวนการเข้ารหัสด้วยตัวเองแทนที่จะอาศัยค่าเริ่มต้นของแอนก็แก้ปัญหา

ที่มา - OP-CO.DE