документация на https://developers.google.com/console/help/new/#generatingdevkeys гласит:Как Google + защищает api-ключ, встроенный в приложения ios?
Создание и использование ключа IOS, если ваше приложение работает на IOS устройств. Google подтверждает, что каждый запрос исходит из приложения iOS, которое соответствует одному из указанных вами идентификаторов пакетов. Файл .plist приложения содержит свой идентификатор пакета. Пример: com.example.MyApp
Означает ли это, что API-интерфейсы google (на стороне сервера) каким-то образом подтверждают/гарантируют, что только мое приложение может использовать этот ключ? Или это просто означает, что библиотеки iOS, предоставляемые google, проведут проверку работоспособности, прежде чем принимать api-ключ? Есть ли что-нибудь, что помешает злоумышленнику декомпиляции моего приложения iOS и повторного использования этого api-ключа в его собственном приложении (создание прямых HTTP-вызовов без использования библиотек iOS google)?
Расширение этого ключа, используемого в браузерах, - единственная защита, по-видимому, является проверкой Referer на белом списке доменов. Есть ли что-то, что помешает разработчику вредоносного приложения взять мой api-ключ из браузера и использовать его в своем родном приложении (которое устанавливает мошеннический заголовок Referer)?