Как защитить приложение Android от захвата сетевого трафика

Question

Мое приложение делает некоторые HTTP-запросы, и я не хочу, чтобы другие видели содержимое этих запросов. На данный момент я могу легко проверить, что делает мое приложение, используя Fiddler. Теперь, чтобы отслеживать сетевой трафик на моем телефоне, мне пришлось изменить настройки Wi-Fi и подключиться к Интернету с помощью прокси-сервера. т.е. мой компьютер. Можно ли программно проверить, пользуется ли телефоном прокси? Если бы знал, что на телефоне используется прокси-сервер, я бы запретил пользователю использовать приложение, показывая некоторые диалоговые окна с ошибкой. Есть ли способы решения этой проблемы? Я видел приложения, которые работают с обычными настройками Wi-Fi, но не использует прокси-сервер, поэтому я предполагаю, что есть решение. Кстати, я использую модифицированную библиотеку для запросов.

Answer 1

Перемещение вашего трафика для использования HTTPS будет help защитить его от сетевых snoops, таких как Fiddler.

Тем не менее, Fiddler может расшифровывать HTTPS-трафик с помощью пользователя, а это значит, что вы можете использовать HTTPS не только, но также необходимо выполнить сертификацию Pinning, в результате чего клиентский код проверяет, что сервер представил один конкретный сертификат (не сертификат перехвата Fiddler генерирует).

Однако даже это не решит проблему, так как пользователь может просто сделать джейлбрейк своего устройства и отключить код закрепления сертификата.

Возможно, вам следует отступить и пересмотреть, какие угрозы конкретно вы пытаетесь защитить, а затем соответствующим образом обновить свой вопрос.