Depende de la aplicación, por supuesto, pero la mayoría de las aplicaciones principales (cita requerida) usan HTTPS.
Facebook habla de esto específicamente :
... prácticamente todo el tráfico a www.facebook.com y el 80% del tráfico a
m.facebook.com utiliza una conexión segura. Nuestras aplicaciones nativas para Android
y iOS también han usado https durante mucho tiempo.
Todavía es posible que MITM pueda interrumpir la conexión TLS, pero existe un proceso llamado Fijación de certificados que ayuda a evitarlo. Menos aplicaciones tienen esto activado. En la cita de Facebook anterior, que fue en 2013, dijeron:
Estamos probando activamente el anclaje en aplicaciones móviles de Facebook y planeamos usar
También en los navegadores.
Entonces, ¿es posible que las credenciales de su aplicación puedan ser rastreadas desde la red? Sí. Pero muchas aplicaciones utilizan TLS y la fijación de certificados para hacer esto poco probable. Debes investigar cada aplicación para determinar qué utilizan.