Tenemos una aplicación móvil que se conecta a nuestro servidor a través de los servicios web RESTful HTTPS. También tenemos un atacante que emula correctamente nuestra aplicación para comunicarse con nuestro servidor. Por lo tanto, asumimos que nuestro atacante puede observar y descifrar el tráfico de la aplicación utilizando una herramienta como Fiddler .
Según tengo entendido, Fiddler inserta un certificado en el medio y actúa como un proxy. Fiddler puede proporcionar al atacante una versión descifrada de la secuencia de datos.
¿Debería fijación de certificados eliminar la capacidad de un atacante de observar el tráfico HTTPS? Con nuestra aplicación móvil en libertad, tengo que asumir que la aplicación se puede instalar en un dispositivo rooteado / roto en la cárcel.