java - 适用于 Android 的最安全的网络库

Question

最近我retrofit 2.3.0在我的项目中使用了网络库。我还使用了Retrotif中的类SSL pinning来保护应用程序。CertificatePinnerOkhttp

但是，在另一个团队对我们的 APK 进行了全面运行之后penetration test，他们已经成功tamper with the CertificatePinner在 Okhttp 客户端中进行了分类，从而gaining access to the plain messages将其发送到了 Web 服务。

由于我们必须exclude Retrofit and Okhttp classes from the proguard通过编写他们的特定保留规则来进行处理，因此我们得出结论，这是他们成功进行逆向工程的主要原因。

无论如何，考虑到这种情况，出现了以下问题：

1-为什么首先，改造和okhttp需要proguard规则？

2-此问题可能的安全解决方法是什么？

3- 我们是否需要用 Volley 或 AsyncHttpClient 等另一个库替换 Retrofit ？