Насколько безопасны клиентские SSL-сертификаты в мобильном приложении?

Я хотел бы иметь безопасную связь между моим приложением для Android/iOS и моей серверной службой, доступной через Интернет, поэтому я изучаю HTTPS/SSL.

Если я создам самозаверяющие сертификаты, затем добавлю сертификат клиента в приложение и заставлю серверную службу требовать этотсертификат клиента, это действительно безопасно?

Вот почему я спрашиваю. Похоже, клиентский сертификат можно было «взломать», опросив .apk. Сертификат клиента — это просто строковая константа, верно? Это означает, что любой может использовать сертификат клиента для доступа к моему бэкенду. Является ли файл .apk (и эквивалент iOS) достаточно непрозрачным, чтобы предотвратить обнаружение сертификата клиента?