Android防止人为攻击SSL中间人攻击

Question

我在Android应用中使用HTTPS与我自己的API进行通信。 当我嗅闻包时，我没有看到任何好的信息。 但是，当我使用像Fiddler2这样的软件在我的Android上安装可信证书时，我可以清楚地看到我的所有HTTPS调用都是危险的。

的问题是如此接近这个家伙，但在Android中没有iPhone： hiding iOS HTTPS calls from fiddler

我使用循环J库，使我的HTTPS电话：Android的异步HTTP客户端 http://loopj.com/android-async-http/

我该如何处理这样的漏洞？ （我知道如何在概念上处理它，但我需要示例代码）

Answer 1

当用户选择将Fiddler2的证书安装为受信任的根证书时，他会选择危及自己的安全。我不确定你可以做些什么，因为你的应用程序的HTTPS连接将通过Android的证书验证系统，因为证书是可信的，所以认为连接是有效的。

我想要的解决方案是将SSL证书嵌入到您的应用程序中，并告诉您的应用程序它是唯一受信任的证书。这是安全和免费的，因为您可以附加自己创建的自签名证书，因为您控制了验证机制。代码示例请参见this blog article。