実はちょうど三ヶ月前(5月16日)にAndroid 4.xはSHA-2に対応していないという知見を得ておりまして。
SHA-1が危険だと言われているのは、効率的な手法の発見とコンピュータ性能の向上によって現実的な費用・時間において衝突を引き起こせるため・・・なのですが。
TLSのハンドシェイクに於いては、サーバ⇔クライアント間通信が改ざんされていないことを検証するために使われている様子、すなわち、ごく短時間の間なので現時点ではSHA-1を有効化することはセキュリティリスクとしては許容範囲内かなと思います。(Android 4.xで利用できるという利便性とリスクの天秤の意味)
一応、ガイドラインでも禁止“は”されていないようです。
https://www.ipa.go.jp/security/vuln/ssl_crypt_config.html
ただし、今後さらに効率的な手法の発見やコンピュータ性能の向上で危険になる可能性もあり得ますが、それはSHA-1に限った話ではなくセキュリティにおいて常に最新情報を得ることは重要です。
(注)時間という観点で、SSL証明書におけるSHA-1問題とは事情が異なります。