Теоретически, поскольку ваше приложение Flex работает на клиенте, злонамеренный пользователь может делать все, что может делать приложение.
Поскольку ваше приложение является Flash, пользователь может декомпилировать и деобфусцировать ваш код и рисуноккакой сетевой протокол вы используете - все зависит от того, сколько усилий вы предприняли, чтобы скрыть информацию, и от того, насколько решителен злоумышленник.
Короче, проверяйте каждое действие пользователя на стороне сервера.