stou trabalhando em uma API REST para ser usada por um aplicativo móvel que estou escrevendo, principalmente com o objetivo de se comunicar com um banco de dado

O aplicativo móvel faz chamadas para URLs como este:

example.com/mobileapi/getinfo

E carrega certa carga POST junto com cada chamad

Não estou preocupado com a autenticação do usuário etc.

No entanto, o que me preocupa é que, se alguém usar o aplicativo móvel junto com uma ferramenta de monitoramento de rede como o Fiddler ou o Wireshark, poderá documentar todos os URLs que estão sendo chamados, além de todos os parâmetros do POST. Seria informações suficientes para criar seu próprio aplicativo que usa minha API.

Como posso evitar isso? Eu considerei codificar uma chave no meu aplicativo e incluí-lo como um parâmetro POST em cada solicitação, mas isso também seria visíve