Sto leggendo su come Google limita l'uso delle chiavi API. hanno 2 opzioni: l'ID del gruppo e l'impronta digitale SHA-1 dell'applicazione.
Immagino che queste informazioni siano inviate insieme alla richiesta dall'app stessa a Google - cosa mi impedisce di prendere questa chiave e di forgiare una richiesta usando l'ID del bundle, ad esempio?
La mia ipotesi è che sia solo un altro piccolo muro che l'attaccante dovrebbe superare e blocca i "comuni attaccanti", anche se non è così difficile da falsificare.
Sono corretto?