Es klingt nicht wie irgendetwas nicht stimmt.
HTTPS ist HTTP, das in einen verschlüsselten Tunnel eingepackt ist, der mit dem Transport Layer Security (TLS) -Protokoll erstellt wurde (was in vielen Kontexten gleichbedeutend mit SSL ist). Es klingt wie Sie das Zertifikat Fiddler Certificate Authority auf dem Telefon installieren. Indem Sie dies tun, sagen Sie dem Telefon: "Fiddler darf neue TLS-Zertifikate für jeden Host generieren". Das Telefon sollte dann vollkommen glücklich sein, ein von Fiddler erzeugtes TLS-Zertifikat anstelle des TLS-Zertifikats der tatsächlichen Anwendung zu akzeptieren. Fiddler kann daher den HTTPS-Verkehr abfangen, abfangen und stromaufwärts übergeben. In der realen Welt wäre es für den Angreifer unmöglich, ein CA-Zertifikat auf dem Telefon eines Ziels zu installieren, so dass der Angreifer den HTTPS-Verkehr abfangen und lesen könnte.
Es ist möglich, eine Anwendung oder einen Benutzeragenten zu zwingen, nur ein bestimmtes Zertifikat zu akzeptieren (dies wird Zertifikatsfixierung genannt). Es ist auch möglich, eine Anwendung zu zwingen, nur HTTPS (HTTP Strict-Transport-Security) zu verwenden. Es gibt andere relevante Kontrollen, aber diese sind wahrscheinlich einen Blick wert.
In der Zwischenzeit, überprüfen Sie https://en.wikipedia.org/wiki/Certificate_authority.