Estamos creando un conjunto de aplicaciones móviles en las que las comunicaciones hacia / desde la API REST del servidor deben ser lo más seguras posible.
La intención es usar TLS (es decir, https) en la capa de sesión.
Sin embargo, me he dado cuenta de que, en un dispositivo con jailbreak / rooted, es posible detectar el tráfico SSL insertando un certificado de confianza en el propio dispositivo.
Por lo tanto, una idea era agregar cifrado en la capa de aplicación también. En otras palabras, intercambiar claves con el servidor (el servidor envía su clave pública al cliente, el cliente envía su clave pública al servidor) y luego las utiliza como una capa adicional de seguridad.
¿Esto otorgaría algún beneficio de seguridad adicional o es una duplicación inútil de esfuerzos?