Most érted, kitaláltatok valamit, ami nem standard, ha azért jöttél ide hogy valaki confirmálja hogy jó ötlet, csináld csak...
Ha a telefont feltörik, akkor a privát kulcsot is feltörik. A HTTPS-t nem lehet nézegetni, az a kliens privát kulcsával megy (amit ha nagyon akarsz akkor random legenerálhatsz per kliens, na nem mintha az OS nem tenné meg neked magától), az meg hogy hányszor megy át a hálózaton, édesmindegy, nem plaintext megy ugyanis.
Nem tudom te mivel látsz bele a fiddlerrel, gyakori megoldás hogy a szerver publikus kulcsa lemegy a kliensre telepítéskor, az appstore/playstore úgyis ellenőrzi a csomagintegritást meg intézi a frissítést, aztán meg nem engedi a publikus CA-kat, csak a telepítéskor/frissítéskor rögzített speckó CA-t (android: TrustManager) . Innentől ha a kliensed elhiszi a fiddlerről hogy ő a valid szerver akkor azért máshol lesz a gond. De ez mindig macera, mondjuk ezekhez amúgyis hozzá kell nyúlnod ha bele akarsz nyúlni a hitelesítésbe.
Szóval arra lehet érdemes időt szánni hogy ne lehessen könnyen MITM-et csinálni, de arra apellálni hogy egy aszimetrikus kulcs van a kliensen a sima access token helyett szerintem teljesen felesleges, ha törik a klienst akkor az asszimetrikus kulcsot is viszik.
Megnéztem amúgy, az OAuth 1a még mindent aláírt, olyan adatokkal amit soha nem küldött el senkinek (a diplomámban ezt még a két pici kezemmel leimplementáltam, erre határozottan emlékszem), de ezt valahogy aztán mindenki dobta.