Поддержка Android Poodlebleed TLS

Адам Лэнгли из Google опубликовал действительно хорошее объяснение того, как функционирует атака: https://www.imperialviolet.org/2014/10/14/poodle.html

Большинство браузеров поддерживают пересмотр TLS для неудачных рукопожатий, включая HTTP-клиентов в Android. К лучшему или, в основном, к худшему, это преднамеренная функциональность для обратной совместимости с неправильно настроенными серверами, которая документирована в большинстве справочных документов в большинстве мест или если вы просматриваете исходный код.

Пример HTTP-клиентов:

HttpURLConnection

TLS Intolerance Support

This class attempts to create secure connections using common TLS extensions and SSL deflate compression. Should that fail, the connection will be retried with SSLv3 only.

OkHttp

OkHttp initiates new connections with modern TLS features (SNI, ALPN), and falls back to SSLv3 if the handshake fails.

Тем не менее, я думаю, что возможность указывать поддерживаемые версии протоколов в Android на самом деле делает это несколько не проблема в приложениях. Браузеры - это отдельная история, которой занимаются их владельцы. Например, Google поддерживает исправление TLS_FALLBACK_SCSV в Chrome с февраля 2014 года и недавно внес изменение, чтобы полностью исключить поддержку SSLv3 из Chrome. Mozilla заявила, что Firefox "исправит", выпустит в ноябре.

Фиксация хрома: https://chromium.googlesource.com/chromium/src/+/32352ad08ee673a4d43e8593ce988b224f6482d3

В конечном счете, решение заключается в том, чтобы сохранить исправленную реализацию SSL на ваших серверах, а если вы разработчик приложений, будь то Android или iOS, ограничьте использование протокола TLS безопасными протоколами.