如何防止Android中的http数据包捕获？答案

【问题标题】：How to prevent http packet capture in Android?如何防止Android中的http数据包捕获？
【发布时间】：2017-01-04 14:08:04
【问题描述】：

在我们的 android 应用中使用 rest api。当我尝试通过袖珍捕获 android 应用程序捕获请求和响应时，它显示的是请求和响应。我想阻止 http 捕获请求和响应。

【问题讨论】：

我已经看到这篇文章各种方法来捕获来自 android 应用的请求和响应 [stackoverflow.com/questions/27887719/….
使用 SSL 证书固定。然后，至少，攻击者需要修改您的应用程序以删除该固定。但是，最终，您没有实际的方法来阻止数据包检查，因为攻击者总是可以修改您的应用程序以禁用您添加的任何预防机制。
@CommonsWare 感谢您的评论。我们正在使用 SSL，我担心用户可以看到令牌以及将移动应用程序流向服务器的数据是什么。

【解决方案1】：

在您的服务器上禁用没有 TLS 的 HTTP，在客户端上使用证书固定。攻击者只能看到请求（通过逆向工程或修改应用程序）。在这种情况下，没有办法保证 100% 安全。如果用户有网络访问权限，他将能够看到数据。对于大多数攻击者来说，HTTPS 和证书固定将是一个合理的大障碍。

【讨论】：

感谢您的宝贵回答。如果服务器更改证书我现有的应用程序用户会发生什么。我已经参考了这个链接（artemzin.com/blog/certificate-pinning-notes-for-android-java）。