Eché un vistazo a google y aquí y no pude encontrar la respuesta a esta pregunta:
Digamos que tengo un servicio web y una aplicación para Android. Se comunican a través de HTTPS. ¿Debo cifrar el tráfico o puedo suponer que las comunicaciones son relativamente seguras?
No estoy considerando la fijación de certificados aquí. En este caso, ¿el uso de la fijación de certificados cambiaría las medidas de seguridad que debería implementar?
Editar 1 :
Este escenario me viene a la mente al considerar que un atacante que controla el dispositivo que ejecuta la aplicación (que es bastante fácil) puede interceptar la comunicación y ver cada bit de información clara que se transmite.
Escenario : tengo una aplicación que puede realizar pagos con tarjeta de crédito. ¿Debo confiar en TLS para asegurar la información de la tarjeta de crédito que se envía?