Сам Сноуден хвалил этот софт. Но я не юзал

Рут сертификат поставить можно
И если нет ссл пиннинга то можно проснифать

Ну или да, SSL Strip

А как понять, есть пининг или нет?

Я сейчас про сайт больше

charles proxy, burp suite, mitm proxy. Запустить просто на старом устройстве, до SDK 23 ещё можно было ставить системные корневые сертификаты.

Просто мне непонятно, правда ли, что так сильно надо избегать открытые вай фай без пароля с кучей людей.

Если нужно поснифать трафик то можно поставить на устройство локально что типа чарльз прокси. Возможно если в приложении прописан network security config не доверяющий установленным пользователем сертификатам - то ещё и перенести серт чарльза из под рута в системное хранилище. Если в приложении пиннинг - то пользоваться динамической инструментацией типа фрида, ребята в этом чатике много раз обсуждали как это делается

В основном это миф раздуваемый компаниями продающими платный ВПН

В 99% случаев атакующий получивший сетевые пакеты по wifi радио ничего извлечь из них не сможет

В правилах группы написано -Уязвимости и эксплойты,
а как можно написать эксплойт для проекта? работаю фрилансером, если кинут и т.д как можно удалить проект?

К серверу привяжи

Простейший флаг и всё

Как насчёт эксплоита под названием "договор оказания ууслуг"?)

однажды было такое, Казахстан страна чудес, окажи услугу и тебе п***ц

А ссл стрип атаки теже, hsts обходы

типо полицаи не хотят таким заниматься, а допустим сделал за 500к тенге, нужно будет 50к тенге в суд и т.п, а это ещё не точно решат

Они же работают прекрасно с https

хочу ещё и исходники удалить)

Так не кидай исходники