Я хотел бы отметить, что паранойя спрашивающего вполне оправдана.Предполагая, что на сайте есть сертификат, подписанный действующим центром сертификации (и приложение проверяет его), он должен обычно быть в безопасности, но, как показала недавняя история, центры сертификации не являются полностью безошибочными.
Жесткое кодирование URL-адреса само по себе ничего не делает для предотвращения атак "человек посередине".Если вы знаете, что собираетесь подключаться только к одному сайту, вы можете жестко закодировать сертификат или открытый ключ сайта в свое приложение, процесс, известный как закрепление сертификата.Это гарантирует, что, если кто-то не получит копию закрытого ключа сайта (в любом случае, в любом случае, вы в значительной степени потонули), вы будете уверены, что общаетесь с этим сайтом, поскольку только владелец личного ключа сайта может отправлять сообщения.расшифровывается с помощью открытого ключа сайта.Для справки:
Реализация:https://www.owasp.org/index.php/Certificate_and_Public_Key_Pinning#Public_Key_Checks
Общая информация:http://www.netspi.com/blog/2013/04/01/certificate-pinning-in-a-mobile-application/
Паранойя - это стандартная процедура при решении вопросов безопасности, и на то есть веские основания.