最近我在我的项目中使用了retrofit 2.3.0网络库。我还使用SSL pinning中的CertificatePinner类以及Retrotif来实施Okhttp来保护应用。
但是,在另一个团队在我们的APK上运行了全面的penetration test之后,他们在Okhttp客户端中成功进入了tamper with the CertificatePinner类,导致gaining access to the plain messages被发送到网络服务。
由于我们必须exclude Retrofit and Okhttp classes from the proguard处理,通过编写特定的保留规则,我们得出结论,这是他们成功进行逆向工程的主要原因。
无论如何,考虑到这种情况,出现了以下问题:
1-为什么首先,改造和okhttp需要预备规则?
2-此问题的可能安全解决方法是什么?
3-我们是否需要使用Volley或AsyncHttpClient等其他库替换Retrofit?