Estoy leyendo acerca de cómo Google restringe el uso de las claves API. tienen 2 opciones: por ID de paquete y por la huella dactilar SHA-1 de la aplicación.
Supongo que esta información se envía a lo largo de la solicitud desde la propia aplicación a Google. ¿Qué me impide tomar esta clave y falsificar una solicitud utilizando esa ID de paquete, por ejemplo?
Supongo que es solo otro pequeño muro que el atacante debería pasar y detiene a los "atacantes comunes", aunque no es tan difícil de falsificar.
¿Estoy en lo correcto?