Рекомендации по использованию ключа и секрета API в комплекте в приложении ⇐ Android

[Anonymous]

Я разрабатываю приложение, которое будет использовать текстовые сообщения для проверки номера телефона пользователя, обычную процедуру «ввода кода».
После небольшого прочтения это кажется плохим идея хранить закрытые ключи для любой третьей стороны, которую я буду использовать в приложении (twilio, nexmo и т. д.). Кто-то мог бы перепроектировать их из моего двоичного файла и использовать в своем приложении.
Однако наличие их на сервере тоже не поможет, кто-то может просто перепроектировать конечную точку моего сервера, которую я использую. чтобы отправлять текстовые сообщения и использовать их вместо этого.
Например. Я мог бы перепроектировать WhatsApp и получить закрытые ключи или конечные точки API, которые они используют для проверки номера телефона, и просто использовать их в своем приложении, сэкономив мне тысячи долларов.
Любые идеи о том, как это сделать защитить себя от такой атаки?

Подробнее здесь: https://stackoverflow.com/questions/366 ... led-in-app