Ho cercato per quasi un mese di intercettare il traffico di un'app per Android che utilizza il pinning SSL. Ho usato Android-SSL-TrustKiller e SSLUnpinning ma non ha funzionato. Ho anche decompilato l'app e aggiunto il certificato di mitmproxy al truststore dell'app ma ancora senza fortuna. Dopo alcune indagini ho scoperto che l'app utilizza il protocollo SPDY. Ho pensato che questo potrebbe essere la fonte del problema, quindi ho cercato su Google come questo protocollo esegue la convalida del certificato SSL ma non ho trovato nulla.
Quindi il protocollo SPDY utilizza un meccanismo diverso per il blocco SSL? se no, allora cosa impedisce all'app di fidarsi del proxy dopo aver aggiunto il certificato del proxy al truststore dell'app?