Cubaza
A jeśli użytkownik zainstaluje aplikację z poza sklepu lub z innego źródła to jak dla mnie to jest tylko i wyłącznie jego wina.
Zgadzam się. APK ze sklepu jest podpisane i nikt obcy nie będzie w stanie tego podpisu podrobić ( dopóki nie zna Twojego klucza 😛). Hakerowi zależy na tym żebyjak największa liczba użytkowników zainstalowała jego zmodyfikowaną aplikację. Instalowanie aplikacji zGoogle Play chroni zwykłego użytkownika przed tym niebezpieczeństwem.
Najlepszą ochroną jest nieumieszczanie krytycznych danych w aplikacji. Powinny one być po stronie serwera.
W Twoim przypadku najlepiej wprowadź w życie zalecenia które Ci proponują. Aplikacja audyt przejdzie, a ilość hakerów, którzy będą chcieli modyfikować Twoją aplikację spadnie (nie każdemu będzie się chciało, nie każdy będzie miał wiedzę itd.). Przed debugiem możesz się uchronić robiąc np. coś takiego:
if (BuildConfig.DEBUG)
throw new Exception()
Marne zabezpieczenie, ale zawsze.
Poszukałem jeszcze trochę w sieci:
wątek na reddicie
poradnik z githuba
Może coś z tego będzie przydatne.