Прослуховування трафіку Резерв+.
В мережі Інтернет є такий допис + перепости де поширюються наступні думки:

  1. Додаток створено/взято на основі додатку Мрія (шкільний щоденник).
  2. Додаток погано захищений.
Я зробив власну перевірку:

  1. Дійсно, в додатку є translation keys, які мають відношення до шкільного додатку Мрія. Як так могло трапитися? Не знаю, є різні варіанти: помилково додали), брали за основу кодову базу іншу додатку. Чи має це пряме відношення до захищеності додатка? - ні, не має
  2. Щодо захищеності додатку: всі дані оброблюються та зберігаються на сервері, додаток виконує роль інтерфейсу, не більше.
А от що точно треба додати, це захист від SSL Pining. Якщо коротко, то теоретично можна зробити MITM атаку, коли жертва підключається до скомпрометованої мережі, де зловмисники можуть прослуховувати увесь трафік (та бачити усі дані які передаються), який ходить з додатка Резерв+ до серверів (скріншот цього допису це приклад прослуховування трафіку з Резерв+).

Що треба зробити розробникам?  

Прочитати цю статтю та додати захист від MITM.

Що треба зробити користувачу?

Не підключатися до невідомих WIFI мереж.