Как перехватывают зашифрованный HTTP-трафик на мобильном устройстве

[R3EQ]

HTTPS может, а не HTTS?

[Graid]

Или даже HSTS.

[vikarti]

А причем тут вообще Onavo?

Способ общий.

Ну и сертификат использовать - поставить пользовательский сертификат слегка...гемморойно. И приложение может сказать что ему не интересно пользовательские.

Ах да, поставить в системные при сборке прошивке тоже не так просто - есть https://httptoolkit.com/blog/chrome-android-certificate-transparency/ грабля (идет проверка через СT Log'и)

Начиная с Android 14 - с рутом в системные поставить тоже не так просто https://httptoolkit.com/blog/android-14-breaks-system-certificate-installation/

Именно предустановку как дыру использовать...сложно.

[Viacheslav01]

"Если вкратце, злоумышленник должен поставить на телефон собственное приложение и сертификат УЦ (удостоверяющего центра)."

Собственно вся статья. Все остальное зачем?