Voce pode restringir o acesso as suas APIs do Firebase, configurando no console do Firebase o SHA1 do seu APP. Aqui tem um guia prático de como fazer.
Além disso, é interessante também injetar a API KEY no seu projeto na CI, evitando assim que você precise expor ela no repositório. Da pra fazer isso usando o Gradle e o Github Actions.
Usar ofuscadores como o Dexguard ou o R8 por exemplo também ajuda, mas não são uma solução definitiva.
Elias, obrigado pelo retorno.
Eu até mencionei no texto que fiz essa restrição das API's para usar apenas o SHA-1 do meu app Android e também o bundler do iOS, mas como eu mencionei não funcionou. Fazendo chamadas por uma fonte externa ele ainda permitia acesso ao firestore, por exemplo. Somente as chamadas à autenticação ficaram restritas (tanto para fonte externa quanto para meu app android que eu dei permissão também ficou restrito), ou seja, não funcionou :(
Vou procurar saber sobre Dexguard e o R8.
Você sabe me dizer se o App Check do firebase seria o suficiente para suprir essa segurança?