Приложение Android с SSL-закреплением было успешно протестировано на мобильном устройстве под управлением Android 6 (с установленными сертификатами) с использованием прокси Burp и OW ASP ZAP Proxy. Как и ожидалось, приложение отклоняло соединения при использовании любого прокси.
Однако при тестировании с использованием Charles Proxy было возможно перехватить и прочитать большую часть трафика приложения c в открытом тексте, несмотря на наличие закрепления SSL.
Что может быть причиной для этого? Поиски в Google не дали никаких результатов.