Мы используем Google Firebase для получения данных CrashLytics для нашего приложения, и ключ API, предоставляемый через файл google-services.json, был задан в качестве проблемы безопасности, поскольку файл apk приложения может быть отредактирован для получения этого файла изатем он может быть использован злоумышленником для отправки данных в нашу учетную запись Firebase.
Чтобы избежать этого, мы пытались следовать этой документации , чтобы ограничить использование ключа API таким образом, чтобы оно могло использоваться только нашим приложением.Это достигается путем ограничения его именем пакета и отпечатком SHA1 хранилища ключей нашего приложения.
Однако, когда мы проверили его, он не сработал, как ожидалось.Мы все еще смогли отправить данные о сбое через поддельное приложение с тем же именем пакета, тем же файлом google-services.json, но другим файлом хранилища ключей.
На основании принятого ответа на этот вопрос этот подход должен работать.Мы высоко ценим это, если кто-то, имеющий опыт в этом, может поделиться с нами.