Извиняюсь за оффтоп, но вроде я понял что он имел в виду, так как api_secret всетаки обрабатывается флэшой то дисамблировав и проанализировав приложение, можно найти где он добывает api_secret это не универсально но думаю полезно
Тоесть даже если он не хранится в приложении то не проблема найти запрос выдающий его.


P.S. "белый софт" это какой то бот?)