Esta questão provavelmente seria melhor perguntada sobre segurança de TI (você teria que dar um pouco mais de informações sobre o vetor de ataque previsto).
Em geral, se alguém falsifica (a) o IP do seu host, e (b) um certificado que seu aplicativo considera aceitável - sim. Eles podem capturar qualquer coisa enviada por essa conexão. Isso é parte do motivo pelo qual você não deve codificar informações confidenciais de autenticação em seu aplicativo .
A outra parte é que você deve se lembrar que seus usuários farão o download deste aplicativo para seus PCs para instalar em seus iPhones (a mágica da loja iTunes), e eles podem simplesmente rodar um decompilador e começar a procurar por strings interessantes.
A máquina do usuário é um ambiente hostil. Não confie neles com nada sensível.