SDK偽造 開源與閉源,sdk集成和api集成

偽造的SDK開源和閉源

通過查看應(yīng)用程序通過歸屬SDK發(fā)快遞的數(shù)據(jù)和歸屬公司服務(wù)器中的數(shù)據(jù)，欺詐者可以決定他們需要發(fā)快遞什么信息來“欺騙”歸屬公司接受他們的假數(shù)據(jù)。一旦成功，欺詐者可以創(chuàng)建無限的、看似真實(shí)的用戶和應(yīng)用內(nèi)事件，甚至無需在任何手機(jī)上運(yùn)行實(shí)際的應(yīng)用。

今天的欺詐者可以獲得真實(shí)的設(shè)備ID，這意味著除非您使用加密簽名來確保數(shù)據(jù)是從應(yīng)用程序發(fā)快遞的，否則他們產(chǎn)生的假數(shù)據(jù)看起來就像真實(shí)數(shù)據(jù)一樣。

正因為Adjust SDK是開源的，以下問題值得我們深入研究:

我們?nèi)绾伪Ｗo(hù)我們用來驗證請求的代碼不被他人輕易讀取并用來復(fù)制其行為

Adjust提供開源SDK，因為我們相信客戶有權(quán)知道他們的應(yīng)用程序中發(fā)生了什么。此外，開源SDK鼓勵我們與客戶合作，創(chuàng)建市場上最穩(wěn)定的SDK，不會崩潰。事實(shí)上，SDK應(yīng)該開源的原因有很多，我們在上一篇文章中已經(jīng)有所涉及。

ADJUST SDK如何保證安全

為了使用Adjust進(jìn)行跟蹤，客戶需要首先將Adjust SDK集成到他們的應(yīng)用程序中。但為了保護(hù)我們的客戶免受偽造，我們也要求他們下載一個單獨(dú)的庫，并將其插入到Adjust SDK中。沒有這個庫，SDK就不安全，我們也不會接受其中的數(shù)據(jù)。

這個庫可以創(chuàng)建一個加密的簽名，它將被附加到從SDK發(fā)快遞的每個數(shù)據(jù)請求上。它可以抵御所有已知的攻擊方法，并由我們的安全專家團(tuán)隊不斷更新。每個庫都是不同的，這意味著如果一個應(yīng)用程序受到攻擊，同樣的攻擊方法在世界上任何其他應(yīng)用程序上都不會起作用。此外，我們的安全團(tuán)隊將不斷更新庫，因此任何破壞安全的新嘗試都將很快失敗。

庫的代碼是隨機(jī)生成的，然后經(jīng)過特殊的編譯過程，攻擊者無法逆向工程庫讀取代碼。

其他SDK更安全嗎

其他大多數(shù)屬性SDK都是閉源的，不會向使用它們的客戶展示它們的代碼，但這是否使它們更加安全

“答案是否定的。”

在我們對SDK偽造的研究中，我們檢查了市場上的閉源屬性SDK，了解它們在沒有加密簽名的情況下的安全性。不幸的是，我們發(fā)現(xiàn)在每一種情況下，這些SDK用來簽署數(shù)據(jù)請求的函數(shù)都可以很容易地以人類可讀的形式提取出來，因此很容易被破解。

事實(shí)上，對于一些SDK，我們的研究人員只花了幾分鐘就找到并破解了它們的簽名功能——也就是說，SDK的保護(hù)在短時間內(nèi)被完全打破了。這將導(dǎo)致非常嚴(yán)重的后果，因為一旦攻擊者這樣做了，他們就可以使用簽名使虛假數(shù)據(jù)看起來完全真實(shí)。簡而言之，攻擊者可以輕易地欺騙所有現(xiàn)有的閉源解決方案。

客戶插入SDK的自定義庫不包含歸屬于SDK的所有功能，而僅包含防止偽造所必需的相關(guān)功能。這意味著我們可以用完全不同的方式來編寫、編譯和保護(hù)它。

出于安全原因，我們不能透露用于保護(hù)庫的所有方法，但我們很高興將客戶與我們的網(wǎng)絡(luò)安全專家聯(lián)系起來，并提供進(jìn)一步的解釋。總而言之，保護(hù)開源SDK的安全是絕對可行的。另一方面，說閉源SDK不會遭受偽造是不正確的。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點(diǎn)，不代表ESG跨境電商觀點(diǎn)或立場。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。