Es porque el destino de la API no puede estar oculto por SSL. Lo que está oculto por SSL, son los datos, por ejemplo, la solicitud y la respuesta, incluida la parte de la ruta de la URL.
Saliendo de esta url: enlace
se cifrará lo siguiente: /search.php?sdata=somedata
La primera parte, enlace , NO estará encriptada (lea más por qué no).
Lo que no está oculto, es la IP de destino y el puerto de destino. Además, la solicitud de DNS inmediatamente anterior a esto, se envía en claro.
Un sniffer, puede detectar el nombre caónico del destino de dos maneras:
O bien, puede recordar las respuestas de DNS detectadas anteriormente, por lo que si previamente realizó una búsqueda de DNS digamos api.example.org y obtuvo una IP de "8.8.4.4", el rastreador puede reemplazar todas las apariciones de 8.8. 4.4 más tarde con api.example.org
O, puede hacer lo que se denomina rDNS o búsqueda inversa de DNS. Esto significa que realiza una búsqueda de un registro de PTR para el IP a la inversa, por lo que el rDNS de 8.8.4.4 se puede encontrar en un PTR para 4.4.8.8.in-addr.arpa que da como resultado google-public-dns-b. google.com, por lo tanto, el sniffer puede reemplazar todas las apariciones de 8.8.4.4 con google-public-dns-b.google.com
Dado que solo puede ver la destilación de la API para parte del tráfico, sospecho que es el primer caso que es válido aquí, porque si realizó la búsqueda de DNS antes de ejecutar el sniffer, esta búsqueda se almacenará en caché durante un período en su teléfono, lo que significa que si el servidor en cuestión carece de un valor rDNS, el rastreador normalmente mostrará una IP en lugar del nombre caónico, lo que puede dar la apariencia de que algunos destinos están "cifrados" cuando realmente no lo están.
Si desea ocultar el destino de la API de la inhalación, debe usar algún tipo de proxy o VPN, donde el tráfico entre el cliente y el proxy / VPN está cifrado.
Lea otras preguntas en las etiquetas tls ssl-interception