In che modo le app mobili impediscono gli attacchi HTTPS MITM quando l'utente installa il certificato CA dell'attaccante?

È perché alcune applicazioni non utilizzano l'API HTTPS comune dall'SDK. Alcuni di loro implementano le proprie librerie e hanno i propri keystore.

In queste app, il certificato utilizzato per la connessione è solitamente codificato o il certificato di root è hardcoded. In questi casi, a meno che tu non modifichi l'applicazione per considerare attendibile il tuo certificato, l'installazione di certificati utente o di sistema non funzionerà.

HSTS e HPKP sono entrambi per browser , non app mobili generiche. I browser conformi alla RFC possono (e fanno) consentire una connessione con un certificato attendibile manualmente nonostante HPKP. Le app mobili non hanno bisogno di farlo, ma non hanno nemmeno bisogno di usare HTTP. Il blocco del certificato nelle app mobili è un'idea simile a HPKP, ma è un'implementazione diversa.

Blocco chiave pubblica è assolutamente in grado di impedire il MITM anche con un certificato CA attendibile. L'intero punto di blocco è che l'applicazione sa esattamente quale certificato (hash, emittente, ecc.) Aspettarsi. Anche se la CA attendibile può generare un certificato "valido" per il dominio, non sarà il certificato esatto che l'applicazione sta cercando, quindi lo rifiuterà.

Se stai parlando di dispositivi Android, è perché in Android 7 e versioni successive, un'app può scegliere se fidarsi o meno dei certificati radice installati dall'utente. Stanno semplicemente diffidando del certificato che hai installato.
Se puoi eseguire il root del tuo dispositivo, allora sarai in grado di installare la tua root nel trust store del sistema, quindi l'app si fiderà di esso.