HTTP ヘッダーに基づく独自の認証システムを使用するアプリがあり、さらに認証情報がアプリにハードコードされているとします (そうでない場合はどうすればよいかわかりません)。SSL経由でWebサービスにヒットします。
ヘッダーを盗み出すことはできないと思いますが (間違っていたら訂正してください)、やる気のあるユーザーがアプリを逆コンパイルして API キーを取得することは実際に可能でしょうか? これは iOS (Obj-C) と Android/Blackberry (Java) でどのように異なりますか?