Мне недавно приходилось иметь дело именно с этой ситуацией. Проблема не столько в том, что кто-то не может легко найти его с помощью шестнадцатеричного редактора, а в том, что он отправляется по проводам в различные API. Просто запустив Fiddler и проследив за запросами, ключ покажет. Некоторые API имеют преимущество частного / открытого ключа, который немного помогает.
Единственное решение, которое я мог придумать, - это создать собственный веб-сервис, размещенный снаружи, который действовал бы как прокси между клиентом и целевым API. Это позволило мне генерировать индивидуальные ключи для каждого терминала, которые я мог активировать / деактивировать, и большинство конфиденциальных данных было сохранено в моем удаленном прокси-приложении.
Удачи!
~ "Не забудь выпить свой овальтин"