Credo che qui ci sia una sorta di confusione. Sembri pensare che Fiddler sia uno strumento di attacco / hack / magico. Per decifrare il traffico SSL con Fiddler devi possedere la chiave di sessione o devi installare il certificato di Fiddler sul dispositivo.
Chiedere un vettore di attacco e parlare dell'uso di Fiddler nella stessa domanda sembra sciocco. Stai dicendo che hai già accesso al traffico, sei già un MiTM. Tutto quello che devi fare è usare la chiave di sessione e / o fare in modo che il dispositivo consideri attendibile il tuo falso certificato.
Consiglio vivamente di leggere l'argomento.