Esiste un servizio web basato su REST che non ha alcuna autenticazione o autorizzazione - chiunque possa conoscere un URL di un particolare metodo di questo servizio web può utilizzarlo.
Tuttavia, gli URL dei metodi non sono esposti al pubblico (ad esempio, non esiste una documentazione pubblica che enumeri i metodi API, o qualcosa del genere). Solo l'accesso al webservice è un'applicazione Android che, ovviamente, deve conoscere gli URL per utilizzare il webservice (sono codificati in esso). L'app non è pubblicata in nessun app store pubblico ed è solo distribuita internamente.
C'è un modo per un potenziale aggressore di accedere al servizio web al di fuori dell'app Android? Ovviamente, un modo ovvio sarebbe in qualche modo ottenere l'app, decompilarla e scoprire quali sono gli URL; ci sono altri modi realistici tranne quello?
Il webservice in questione esiste davvero. In questo momento, ho solo un sentimento che l'intero setup è una ricetta per il disastro - Ho bisogno di alcuni esempi particolari per essere in grado di convincere il mio capo che veramente abbiamo bisogno di migliorare la situazione in qualche modo.