Комментарии 4
HTTPS может, а не HTTS?
А причем тут вообще Onavo?
Способ общий.
Ну и сертификат использовать - поставить пользовательский сертификат слегка...гемморойно. И приложение может сказать что ему не интересно пользовательские.
Ах да, поставить в системные при сборке прошивке тоже не так просто - есть https://httptoolkit.com/blog/chrome-android-certificate-transparency/ грабля (идет проверка через СT Log'и)
Начиная с Android 14 - с рутом в системные поставить тоже не так просто https://httptoolkit.com/blog/android-14-breaks-system-certificate-installation/
Именно предустановку как дыру использовать...сложно.
"Если вкратце, злоумышленник должен поставить на телефон собственное приложение и сертификат УЦ (удостоверяющего центра)."
Собственно вся статья. Все остальное зачем?
Как перехватывают зашифрованный HTTP-трафик на мобильном устройстве