Если хотите реализовать защиту покупок (от Freedom и т.д.), то делай просто по инструкции. Проверяйте подпись! Делать отдельный сервер для проверки подписи думаю глупо, достаточно сделать проверку в apk. Если apk будет кто то изменять, то могут изменить все, тут можно только применить запутывания кода, чтобы сделать это было сложней.
Вся схема проведения покупок достаточно безопасна, и то что работает Freedom, думаю это просто лень разработчиков делать проверку. Freedom не может подделать подпись. Подпись создается закрытым ключом вашего приложения, который хранится на сервере гугла. В apk Вы можете хранить открытый ключ и им проверять подпись. Также Вы должны использовать случайную строку в каждом новом запросе, тогда в ответе будет новая подпись, это защитит Вас от подсовывания Вам старого ответа.