Si intercambio paquetes https entre un servidor y un cliente de Android, ¿es fácil para el usuario del cliente obtener lo que haya en el tráfico cifrado? ¿Debo considerar todo el tráfico como inseguro si la seguridad depende de que el usuario no pueda leer de alguna manera lo que hay en los paquetes https?
No entiendo bien cuál es su modelo de uso donde la seguridad depende de que el usuario de la aplicación en sí no pueda conocer el tráfico HTTPS.
Pero creo que si su aplicación no tiene certificado de anclaje incorporado, y su cliente no verifica correctamente la conexión TLS (de manera similar a como un usuario final hace clic en "Agregar excepción ..." cuando el navegador se queja "Esta conexión no es confiable "), el usuario puede simplemente instalar un proxy (como Burp) en el medio para interceptar el tráfico.
No diría que sería fácil para el usuario obtener esta información, pero es posible. Yo consideraría este tráfico inseguro en el extremo del cliente. Si está cifrando este tráfico, será más difícil para las personas que no sean el cliente acceder. El cliente debe poder descifrar la información para acceder a ella, de modo que sí puedan acceder a ella y no sea segura.
HTTPS es un cifrado de extremo a extremo. Eso significa que en ambos extremos de la conexión el tráfico no está encriptado, solo en el medio. Mientras el usuario tenga acceso total al dispositivo, será posible modificar la aplicación para interceptar los datos antes del cifrado o puede ser posible agregar una nueva CA y realizar un ataque de hombre en el medio (según la aplicación) - si está involucrado el anclaje, esto podría no ser posible).
Por lo tanto, si su seguridad depende de la idea de que el usuario no puede ver o incluso modificar el tráfico, su modelo de seguridad probablemente esté equivocado. Lo único que puedes hacer es hacer que sea más difícil analizar el tráfico al ofuscar código y tráfico.