Porque según varias fuentes;

¿Cómo evitar la ingeniería inversa de un archivo APK?

es imposible evitar que una aplicación tenga ingeniería inversa, y los tokens de la aplicación Firebase se almacenan en la fuente APK, ¿cómo no podrán los atacantes obtener estas credenciales y destruir una base de datos Firebase?

Mi preocupación es que no hay un controlador disponible para el desarrollador entre la aplicación nativa y la base de datos Firebase (A menos que uno enrute solicitudes de, por ejemplo, la aplicación de Android a su propio servidor y luego a Firebase, lo que ralentizaría las solicitudes, creo) Por lo tanto, cualquier persona que pueda acceder a los tokens debería poder hacer lo que quiera con la base de datos.

Vengo de PHP y MySQL, donde controlaría todas las solicitudes que vienen de clientes con PHP, luego accedo a la base de datos desde PHP con la información de usuario de la base de datos que se almacena en el servidor, no en los clientes.

LO QUE SABÍA: dado que el servicio web y la base de datos están alojados en el servidor y solo el servicio web necesita acceso directo a la base de datos, no es necesario almacenar la información de acceso a la base de datos en la aplicación. Por lo tanto, los atacantes no tienen información de acceso a DB disponible en la aplicación.

Probablemente me estoy perdiendo algo importante aquí. Me encantaría entender más.