SDK偽造 開源與閉源,sdk集成和api集成

偽造的SDK開源和閉源

通過查看應用程序通過歸屬SDK發快遞的數據和歸屬公司服務器中的數據，欺詐者可以決定他們需要發快遞什么信息來“欺騙”歸屬公司接受他們的假數據。一旦成功，欺詐者可以創建無限的、看似真實的用戶和應用內事件，甚至無需在任何手機上運行實際的應用。

今天的欺詐者可以獲得真實的設備ID，這意味著除非您使用加密簽名來確保數據是從應用程序發快遞的，否則他們產生的假數據看起來就像真實數據一樣。

正因為Adjust SDK是開源的，以下問題值得我們深入研究:

我們如何保護我們用來驗證請求的代碼不被他人輕易讀取并用來復制其行為

Adjust提供開源SDK，因為我們相信客戶有權知道他們的應用程序中發生了什么。此外，開源SDK鼓勵我們與客戶合作，創建市場上最穩定的SDK，不會崩潰。事實上，SDK應該開源的原因有很多，我們在上一篇文章中已經有所涉及。

ADJUST SDK如何保證安全

為了使用Adjust進行跟蹤，客戶需要首先將Adjust SDK集成到他們的應用程序中。但為了保護我們的客戶免受偽造，我們也要求他們下載一個單獨的庫，并將其插入到Adjust SDK中。沒有這個庫，SDK就不安全，我們也不會接受其中的數據。

這個庫可以創建一個加密的簽名，它將被附加到從SDK發快遞的每個數據請求上。它可以抵御所有已知的攻擊方法，并由我們的安全專家團隊不斷更新。每個庫都是不同的，這意味著如果一個應用程序受到攻擊，同樣的攻擊方法在世界上任何其他應用程序上都不會起作用。此外，我們的安全團隊將不斷更新庫，因此任何破壞安全的新嘗試都將很快失敗。

庫的代碼是隨機生成的，然后經過特殊的編譯過程，攻擊者無法逆向工程庫讀取代碼。

其他SDK更安全嗎

其他大多數屬性SDK都是閉源的，不會向使用它們的客戶展示它們的代碼，但這是否使它們更加安全

“答案是否定的。”

在我們對SDK偽造的研究中，我們檢查了市場上的閉源屬性SDK，了解它們在沒有加密簽名的情況下的安全性。不幸的是，我們發現在每一種情況下，這些SDK用來簽署數據請求的函數都可以很容易地以人類可讀的形式提取出來，因此很容易被破解。

事實上，對于一些SDK，我們的研究人員只花了幾分鐘就找到并破解了它們的簽名功能——也就是說，SDK的保護在短時間內被完全打破了。這將導致非常嚴重的后果，因為一旦攻擊者這樣做了，他們就可以使用簽名使虛假數據看起來完全真實。簡而言之，攻擊者可以輕易地欺騙所有現有的閉源解決方案。

客戶插入SDK的自定義庫不包含歸屬于SDK的所有功能，而僅包含防止偽造所必需的相關功能。這意味著我們可以用完全不同的方式來編寫、編譯和保護它。

出于安全原因，我們不能透露用于保護庫的所有方法，但我們很高興將客戶與我們的網絡安全專家聯系起來，并提供進一步的解釋。總而言之，保護開源SDK的安全是絕對可行的。另一方面，說閉源SDK不會遭受偽造是不正確的。

特別聲明：以上文章內容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發表后的30日內與ESG跨境電商聯系。