現在、monaca(HTML+CSS+Javascript)でモバイルアプリを開発しています。

■最終的な構成は以下を想定しています。
モバイルアプリ <--> nifty mbaas <--> 自server
自server上で定期的にプログラムを走らせ、適宜Pushをモバイルアプリへ送るという事を実現させたいです。

■懸念点
nifty mbaasを使うためには、monaca アプリの中に[クライアントキー][アプリケーションキー]を
記載する必要がありますが、monaca でビルドしたアプリはunzipすると中身が全て見えてしまいます。

[クライアントキー][アプリケーションキー]があれば、
REST APIを用いてなりすましPush通信ができてしまうように思えるのですが、
こちら防ぎ方を教えていただけませんでしょうか？
そもそも誤解がありますでしょうか？

■補足
公式コミュニティ内に↓このissueがあります。

【過去質問】セキュリティ対策方法の相談 #29
https://github.com/NIFTYCloud-mbaas/UserCommunity/issues/29

ACLの設定でデータ漏えいは防げることは理解できたのですが、
Push通信はACL設定が見当たりませんでした。

■補足2
cordovaのencryptプラグインでソースコードを暗号化する方法があることは理解しています。
nifty mbaas側の対応策を知りたいと考えています。

■補足3
同じ質問をgithub、stackoverflowにも投稿しています
https://github.com/NIFTYCloud-mbaas/UserCommunity/issues/472
http://ja.stackoverflow.com/questions/26876/nifty-mbaas-%E3%81%AE%E3%81%AA%E3%82%8A%E3%81%99%E3%81%BE%E3%81%97push%E9%80%9A%E4%BF%A1%E3%82%92%E9%98%B2%E3%81%8E%E3%81%9F%E3%81%84