Нет никаких последствий для безопасности от добавления Отпечатка пальца SHA-256 в файл assetstatements.json.
На самом деле Отпечаток пальца уже доступен как часть любого подписанного APK, и его можно просмотреть с помощью следующей команды:
keytool -printcert -jarfile app-debug.apk
Кроме того, одно приложение Android может просматривать отпечатки пальцев из другого приложения, используя подход, аналогичный описанному в этом вопросе .