Cualquier navegador de hoy en día proporciona comentarios al usuario final que confirma si está utilizando o no HTTPS y alguna validación básica del certificado.
Al usar una aplicación móvil, parece que el usuario final no tiene forma de verificar si sus comunicaciones son seguras o no. Aparte de intentar un MiTM utilizando algo como el envenenamiento de caché ARP, ¿hay alguna forma de verificar si una aplicación móvil está utilizando HTTPS?
Si la aplicación usa HTTPS e inyecto un certificado autofirmado con Fiddler, parece que el sistema operativo interviene y me advierte. Al menos en este escenario, si la aplicación está usando HTTPS y alguien intenta un MiTM, se me advierte. Sin embargo, si la aplicación está utilizando HTTP, MiTM puede permanecer allí todo el día y, como usuario final, solo puedo asumir que está bien asegurado y que el certificado está bien o que no está asegurado y esperar lo mejor ...
Al igual que los permisos de la aplicación, que pueden ser verificados por el usuario en el momento de la instalación, podríamos hacerlo con un indicador de "comunicaciones seguras" que indica que el sistema operativo no permitirá que las comunicaciones no seguras salgan de la aplicación. ¿Existe una manera de afirmar este nivel de seguridad dentro de una aplicación móvil que no sea simplemente una afirmación del desarrollador, sino algo que se pueda aplicar o probar?