SharedPreferences nada mais são do que arquivos XML em seus telefones / data / data / pasta. Portanto, qualquer aplicativo ou usuário com privilégios de superusuário em um dispositivo com acesso root pode acessar suas SharedPreferences, mesmo que tenham sido criadas com MODE_PRIV
Ainda assim, há uma maneira de protegê-lo de todos ... Por favor, verifique este link. Aqui você pode armazenar dados em pref com criptografia, a classe é autoexplicativa e muito fácil de usar.
https://github.com/sveinungkb/encrypted-userprefs
Como já foi dito por outras pessoas, qualquer pessoa pode acessá-lo, mas, neste caso, ninguém pode ler os dados dentro dele, pois estão criptografados. Portanto, é seguro. Para segurança máxima , minha sugestão será gerar a chave usada para criptografia em tempo de execução, em vez de codificá-la. Há muitas maneiras de fazer isso :)