Каковы риски раскрытия не очень секретного ключа oauth? Есть ли какие-нибудь обходные пути?

В настоящее время я разрабатываю многоплатформенное приложение, которое использует Twitter, включая аутентификацию через oAuth.

Я просмотрел множество существующих приложений, и большинство из них, похоже, встраивают и идентификатор, и секретный ключ внутрь приложения.

Чем это чревато? Только ли в том, что кто-то может "скачать и проверить" двоичный файл вашего приложения, чтобы извлечь ваш ключ - и затем может притвориться вашим приложением (в стиле фишинга)? Или есть другие риски?

Помимо рисков, есть ли какие-нибудь обходные пути или решения, о которых вы знаете?

Единственное решение, которое я уже видел, это то, что некоторые люди обходят это, направляя все вызовы twitter через свой собственный сайт - например. OAuth Twitter только с ключом потребителя (не использовать секрет потребителя) на iPhone и android - но это кажется довольно медленным и дорогостоящим - я бы предпочел не направлять все вызовы через собственный веб-сервис, если я могу этого избежать (или я неправильно понял решение - это только аутентификация, которая идет через веб-сайт?)