Se scambio i pacchetti https tra un server e un client Android, è facile per l'utente del client ottenere ciò che si trova nel traffico crittografato? Devo considerare tutto questo traffico non sicuro se la sicurezza dipende dall'impossibilità di leggere in qualche modo cosa si trova nei pacchetti https?
Non capisco quale sia il tuo modello di utilizzo in cui la sicurezza dipende dall'utente dell'app stessa che non è in grado di conoscere il traffico HTTPS.
Ma credo che se la tua app non abbia un pinning certificato incorporato e il tuo client non controlli correttamente la connessione TLS (simile a come un utente finale fa clic su "Aggiungi eccezione ..." quando il browser si lamenta "Questa connessione non è sicura "), l'utente può semplicemente installare un proxy (ad esempio Burp) nel mezzo per intercettare il traffico.
Non direi che sarebbe facile per l'utente ottenere questa informazione ma è possibile. Considererei questo traffico non sicuro sul lato client. Se si sta codificando questo traffico, sarà più difficile per le persone diverse dal client accedere. Il client deve essere in grado di decrittografare le informazioni per accedervi, quindi sì, possono accedervi ed è pericoloso.
HTTPS è una crittografia end-to-end. Ciò significa che su entrambe le estremità della connessione il traffico non è crittografato, solo in mezzo. Finché l'utente ha pieno accesso al dispositivo, sarà possibile modificare l'applicazione per intercettare i dati prima della crittografia o potrebbe essere possibile aggiungere una nuova CA e fare un attacco man-in-the-middle (a seconda dell'applicazione - se il pinning è coinvolto, ciò potrebbe non essere possibile).
Quindi se la sicurezza dipende dall'idea che l'utente non sia in grado di vedere o persino modificare il traffico, probabilmente il tuo modello di sicurezza è probabilmente sbagliato. L'unica cosa che puoi fare è rendere più difficile l'analisi del traffico offuscando codice e traffico.