¿Cómo protege una API web no pública de una aplicación malintencionada en la que un desarrollador ha descubierto cómo realizar algunas solicitudes?
Toma la aplicación de Instagram como ejemplo: Instagram no tiene una solicitud de API pública para los medios POST. Su política ha sido permitir solo a los usuarios publicar a través de la aplicación oficial de Instagram.
Sin embargo, hay servicios que parecen haber podido POSTAR medios desde fuera de la aplicación. Asumiría que un desarrollador ambicioso logró descompilar la aplicación iOS o Android y descubrir las solicitudes que permitieron el POST-media. Por lo tanto, este desarrollador tiene la capacidad de enviar spam a Instagram con publicaciones automatizadas.
También supondría que Instagram habría intentado de alguna manera proteger su API mediante una clave API almacenada en la aplicación o por algún otro medio.
Mi pregunta es: ¿Cómo proteges una aplicación contra este tipo de ataque, y si no puedes protegerte de esto, cuáles son las siguientes mejores opciones?