HTTPS (es decir, SSL / TLS) cifra toda la comunicación HTTP, incluida la URL completa. HTTPS no no protege el nombre de dominio, ya que se envía al DNS de forma clara, pero protege el resto de la URL. Otras aplicaciones no tienen acceso al tráfico cifrado SSL / TLS de su aplicación, incluidas las URL. Entonces, mientras la conexión SSL / TLS esté configurada de manera segura, un atacante no podrá obtener su URI del tráfico.
Pero a partir de la última frase que escribió ("Sé cómo ofuscar y ocultar la URL en el código, por lo que no se puede ver al descompilar la aplicación") Comprendo que debe proteger la URL contra un atacante. quién tiene acceso completo al dispositivo (por ejemplo, el propietario del dispositivo). En este caso, no puede confiar en que la conexión SSL / TLS esté asegurada, ya que es posible que el atacante instale su certificado de CA en su dispositivo. Esto anula completamente la seguridad de SSL / TLS, ya que el atacante puede hacerse pasar por su servidor y realizar un ataque de hombre en el medio, como El hack de Alexey V. Borodin en las compras de Apple desde la aplicación . Incluso si utiliza un certificado SSL codificado, el atacante puede rootear el dispositivo y modificar el O / S para que salgan todas las comunicaciones SSL / TLS de forma transparente. Por lo tanto, HTTPS no no protegerá sus URI de un atacante que ejecute su aplicación en su propio dispositivo.