Мой работодатель выполняет MITM на gmail.com, создавая собственный центр сертификации. Я заметил, что это относится только к веб-версии Gmail. Кроме того, Chrome в Windows предупредит меня, если сертификат не является полностью подлинным.
Это относится и к приложению для Android? Будет ли та же логика MITM для Gmail Web работать в приложении для Android или приложение будет более безопасным? Обратите внимание, что я не получаю одинаковые предупреждения о сертификатах в приложении. Трудно сказать, перехватывается ли мой трафик через приложение. Существуют ли какие-либо другие методы, которые можно использовать для перехвата и расшифровки трафика из приложения Gmail для Android?
Действительно, переопределение сертификатов — это один из самых популярных способов компрометации https. Таким образом, если вашему работодателю удастся создать сертификат, обманывающий приложение, он может легко выполнить атаку MiTM.
Некоторые ссылки для проверки атак mitm на приложение gmail:
Иззи