Firebase：反编译apk可以访问我的数据和文件吗？

一般而言，你应该假定任何你提供给客户的代码都有可能被攻击。你需要假设他们所运行的设备完全由他们控制，并且他们可以更改你的代码在该设备上的执行方式。问题不在于你的应用程序被反编译，而在于你无法以任何方式控制执行环境（除非你制造设备并在其中内置硬件安全性）。
google-services.json 中的数据并非私人数据。你应该假定一旦发布应用程序，所有人都会知道该文件中的所有信息。将这些数据视为唯一标识符，告诉你的应用程序从哪里获取数据。该文件中没有密码或凭据，允许攻击者执行你未经授权的任何操作。
使用 Firebase Authentication 结合安全规则来控制托管在 Firebase 中的数据的访问权限取决于你。无法阻止人们在你的应用程序中创建随机帐户，但可以限制他们可以执行的操作。
如果发现你的应用程序受到某种形式的滥用，可以关闭滥用者的帐户，并联系 Firebase 支持报告滥用行为。

我在几个月前遇到了同样的情况。
据我所知，当您生成项目时（从Firebase控制台或Android Studio创建），它会要求您提供一个SHA-1密钥。
这个SHA-1密钥是唯一的，并且作为您的项目与Firebase服务连接的授权。例如，如果用户拥有您的google-services.json文件，没有SHA-1密钥允许他们使用您的项目，他们甚至无法登录或进行身份验证。
我还检查了google-services.json文件，其中包含与包名称相关的SHA1-1密钥。

 "android_info": {
            "package_name": "com.packagename.debug",
            "certificate_hash": "SHA1-KEY"
          }

如果您需要添加新的SHA-1，您还需要使用Gmail进行身份验证，前往Firebase控制台并自行添加（在这种情况下，黑客几乎无法访问您的Gmail帐户），或者从Android Studio执行相同的操作并同步项目。
正如我之前所说，这是我对这种情况的理解，而且针对保护API密钥的一些小研究表明，您需要担心应用程序中的客户端API，而不是公共API。
问题在于，在客户端加密您的API会暴露加密代码并且可以被解码，这就是为什么有时最好从Firebase运行某种函数并将敏感的API发送到您的项目中。
再次说明，我回答问题是基于我拥有和检查过的项目的理解，这不是官方答案，请谨慎参考。