Al descompilar un archivo APK para Android, he encontrado una clave y un valor de io.fabric.ApiKey almacenados en el archivo de manifiesto.
Mis preguntas son:
¿Podemos usar la clave API con propósitos maliciosos?
¿Se puede almacenar en un archivo de manifiesto?
Lo peor que puedes hacer es falsificar datos analíticos. Entonces, nuevamente, no hay manera de generar una clave por instalación (e incluso si existiera esto también podría ser falsificada). Así que sí, puedes abusar de él, pero la única forma de asegurarlo es probablemente no hacer bloqueosalíticos en absoluto.
Lea otras preguntas en las etiquetas penetration-test android api