Lavoro per una grande azienda e stiamo cercando di valutare la sicurezza di alcune informazioni proprietarie che vengono inviate e ricevute in una nuova applicazione che stiamo sviluppando.
Dopo i nostri test iniziali ci siamo resi conto che avremmo potuto facilmente fare un attacco MitM con Fiddler tramite WiFi in pochissimo tempo, lasciando un mucchio di informazioni allo scoperto. Da allora l'abbiamo modificato in modo che le informazioni proprietarie della nostra azienda non possano essere inviate tramite WiFi ma solo tramite la rete.
Quindi la domanda è, è possibile per qualcuno decodificare i nostri pacchetti HTTPS sulla rete mobile (probabilmente QXDM)?
Comprensibilmente se ottengono le nostre chiavi private potrebbero farlo con wireshark ma assumeremo che non sarà così.
Se conosci qualche metodologia, vorremmo testarli contro la nostra app.
Modifica: aggiunta di ulteriori informazioni
È un'applicazione Android che invia importanti informazioni aziendali ai e dai nostri server. Non siamo preoccupati per le persone che perdono informazioni personali (qualcun altro che ascolta, ad esempio), semplicemente non vogliamo che le nostre informazioni aziendali vengano decodificate (una situazione in cui un utente finale decrittografa i pacchetti https della nostra applicazione). Siamo stati in grado di decrittografarlo facilmente usando wifi e fiddler (dal momento che sono stati modificati), abbiamo bisogno di sapere che cosa può fare un utente per decifrare i pacchetti che vengono inviati semplicemente attraverso la rete tra la nostra app e il nostro server.