色成人免费88v,97AV在线,国产精品放荡videos麻豆

SDK偽造開(kāi)源與閉源,sdk集成和api集成

2022-07-05

660

SDK偽造開(kāi)源與閉源,sdk集成和api集成偽造的SDK開(kāi)源和閉源通過(guò)查看應(yīng)用程序通過(guò)歸屬SDK發(fā)快遞的數(shù)據(jù)和歸屬公司服務(wù)器中的數(shù)據(jù)，欺詐者可以決定他們需要發(fā)快遞什么信息來(lái)“欺騙”歸屬公司接受他們的假數(shù)據(jù)。一旦成功，欺詐者可以創(chuàng)建無(wú)限的、看似真實(shí)的用戶和應(yīng)用內(nèi)事件，甚至無(wú)需在任何手機(jī)上運(yùn)行實(shí)際的應(yīng)用。今天的欺詐者可以......

SDK偽造開(kāi)源與閉源,sdk集成和api集成

偽造的SDK開(kāi)源和閉源

通過(guò)查看應(yīng)用程序通過(guò)歸屬SDK發(fā)快遞的數(shù)據(jù)和歸屬公司服務(wù)器中的數(shù)據(jù)，欺詐者可以決定他們需要發(fā)快遞什么信息來(lái)“欺騙”歸屬公司接受他們的假數(shù)據(jù)。一旦成功，欺詐者可以創(chuàng)建無(wú)限的、看似真實(shí)的用戶和應(yīng)用內(nèi)事件，甚至無(wú)需在任何手機(jī)上運(yùn)行實(shí)際的應(yīng)用。

今天的欺詐者可以獲得真實(shí)的設(shè)備ID，這意味著除非您使用加密簽名來(lái)確保數(shù)據(jù)是從應(yīng)用程序發(fā)快遞的，否則他們產(chǎn)生的假數(shù)據(jù)看起來(lái)就像真實(shí)數(shù)據(jù)一樣。

正因?yàn)锳djust SDK是開(kāi)源的，以下問(wèn)題值得我們深入研究:

我們?nèi)绾伪Ｗo(hù)我們用來(lái)驗(yàn)證請(qǐng)求的代碼不被他人輕易讀取并用來(lái)復(fù)制其行為

Adjust提供開(kāi)源SDK，因?yàn)槲覀兿嘈趴蛻粲袡?quán)知道他們的應(yīng)用程序中發(fā)生了什么。此外，開(kāi)源SDK鼓勵(lì)我們與客戶合作，創(chuàng)建市場(chǎng)上最穩(wěn)定的SDK，不會(huì)崩潰。事實(shí)上，SDK應(yīng)該開(kāi)源的原因有很多，我們?cè)谏弦黄恼轮幸呀?jīng)有所涉及。

ADJUST SDK如何保證安全

為了使用Adjust進(jìn)行跟蹤，客戶需要首先將Adjust SDK集成到他們的應(yīng)用程序中。但為了保護(hù)我們的客戶免受偽造，我們也要求他們下載一個(gè)單獨(dú)的庫(kù)，并將其插入到Adjust SDK中。沒(méi)有這個(gè)庫(kù)，SDK就不安全，我們也不會(huì)接受其中的數(shù)據(jù)。

這個(gè)庫(kù)可以創(chuàng)建一個(gè)加密的簽名，它將被附加到從SDK發(fā)快遞的每個(gè)數(shù)據(jù)請(qǐng)求上。它可以抵御所有已知的攻擊方法，并由我們的安全專家團(tuán)隊(duì)不斷更新。每個(gè)庫(kù)都是不同的，這意味著如果一個(gè)應(yīng)用程序受到攻擊，同樣的攻擊方法在世界上任何其他應(yīng)用程序上都不會(huì)起作用。此外，我們的安全團(tuán)隊(duì)將不斷更新庫(kù)，因此任何破壞安全的新嘗試都將很快失敗。

庫(kù)的代碼是隨機(jī)生成的，然后經(jīng)過(guò)特殊的編譯過(guò)程，攻擊者無(wú)法逆向工程庫(kù)讀取代碼。

其他SDK更安全嗎

其他大多數(shù)屬性SDK都是閉源的，不會(huì)向使用它們的客戶展示它們的代碼，但這是否使它們更加安全

“答案是否定的?！?/p>

在我們對(duì)SDK偽造的研究中，我們檢查了市場(chǎng)上的閉源屬性SDK，了解它們?cè)跊](méi)有加密簽名的情況下的安全性。不幸的是，我們發(fā)現(xiàn)在每一種情況下，這些SDK用來(lái)簽署數(shù)據(jù)請(qǐng)求的函數(shù)都可以很容易地以人類可讀的形式提取出來(lái)，因此很容易被破解。

事實(shí)上，對(duì)于一些SDK，我們的研究人員只花了幾分鐘就找到并破解了它們的簽名功能——也就是說(shuō)，SDK的保護(hù)在短時(shí)間內(nèi)被完全打破了。這將導(dǎo)致非常嚴(yán)重的后果，因?yàn)橐坏┕粽哌@樣做了，他們就可以使用簽名使虛假數(shù)據(jù)看起來(lái)完全真實(shí)。簡(jiǎn)而言之，攻擊者可以輕易地欺騙所有現(xiàn)有的閉源解決方案。

客戶插入SDK的自定義庫(kù)不包含歸屬于SDK的所有功能，而僅包含防止偽造所必需的相關(guān)功能。這意味著我們可以用完全不同的方式來(lái)編寫(xiě)、編譯和保護(hù)它。

出于安全原因，我們不能透露用于保護(hù)庫(kù)的所有方法，但我們很高興將客戶與我們的網(wǎng)絡(luò)安全專家聯(lián)系起來(lái)，并提供進(jìn)一步的解釋?？偠灾?，保護(hù)開(kāi)源SDK的安全是絕對(duì)可行的。另一方面，說(shuō)閉源SDK不會(huì)遭受偽造是不正確的。

文章推薦
qGPU on TKE騰訊云發(fā)布下一代GPU容器共享技術(shù),阿里gpu云
Shopee賣家注冊(cè)店鋪的一些相關(guān)問(wèn)題分享,如何注冊(cè)蝦皮shopee店鋪
美國(guó)專線貨代哪家貨代公司美國(guó)專線收費(fèi)便宜,發(fā)展美國(guó)專線貨代
Shopify悄悄測(cè)試新功能,shopify功能詳解

特別聲明：以上文章內(nèi)容僅代表作者本人觀點(diǎn)，不代表ESG跨境電商觀點(diǎn)或立場(chǎng)。如有關(guān)于作品內(nèi)容、版權(quán)或其它問(wèn)題請(qǐng)于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。