Firebase 如何识别我的应用程序并防止其他应用程序冒充我的应用程序？

Question

我已经在 Firebase 中创建了一个项目并注册了我的应用程序。我向此应用程序发送数据消息。 我不想在我的应用程序上进行任何用户身份验证。但是，我确实希望所有 FCM 数据消息仅由我的应用程序处理。没有其他应用程序能够访问我的数据消息。

因此，我的问题是 - Firebase 如何确保在我的项目中注册的应用程序是预期的应用程序？

如果它基于包名称，那么我可以很好地创建一个虚拟应用程序，并将其命名为我试图欺骗的应用程序。这不是一个很大的安全漏洞吗？

我可以反编译 APK 以获取 google-services.json 所需的所有配置。那么，什么可以阻止某人欺骗我的 Firebase 项目来注册他们的应用并访问所有数据消息呢？

我创建了一个虚拟应用程序并能够重现上述内容。虚拟应用程序成功接收到数据消息。

我确实在 Firebase 项目设置中看到了我的应用程序的“App ID”，但这不是我在设置时提供的内容。所以，这是 Firebase 生成的。因此，这不是验证我假设的应用程序的方法。