http://op-co.de/blog/posts/android_ssl_downgrade/
tl;dr: Android использует комбинацию полностью скомпрометированных RC4 и MD5 в качестве первого шифра по умолчанию для всех SSl-соединений. Практически все приложения подвержены этой проблеме, кроме тех, что не озаботились поменять список включенных шифров. В посте по ссылке предпринята попытка выяснить, почему устойчевые алгоритмы были заменены на скомпрометированные (MD5 в 2009) в декабре 2010 после выхода Android > 2.3