Как работает ограничение ключа API Google для мобильных приложений?

Question

Я пытаюсь найти обновленный ответ на этот вопрос 2012 года.

Ключи API Google можно ограничить для URL-адресов, IP-адресов или мобильных приложений.

Как работает их ограничение?Это просто заголовок, который дает идентификатор пакета, который может быть легко подделан хакером?Или происходит что-то умное, что не так легко подделать?

Answer 1

«S» - Безопасность!
Сейчас кажется, что SDK просто добавляет заголовок X-iOS-Bundle-Identifier с идентификатором пакета приложения к каждому запросу на геокодирование: (
Так что даже хакер может использовать ваш ключ Google в любое времяв своих собственных приложениях или сервисах.

curl --header "X-iOS-Bundle-Identifier: com.attacked.Application" "https://maps.googleapis.com/maps/api/geocode/json?latlng=37.4134391,-122.1513073&key=[STOLEN-GOOGLE-KEY]"