Adjust：SDK伪造 开源与闭源

小提示：您能找到这篇{Adjust：SDK伪造 开源与闭源}绝对不是偶然，我们能帮您找到潜在客户，解决您的困扰。如果您对本页介绍的Adjust：SDK伪造 开源与闭源内容感兴趣，有相关需求意向欢迎拨打我们的服务热线，或留言咨询，我们将第一时间联系您！

< font-size: 16px;">

< font-size: 16px;">借由查看应用通过归因SDK所发送的数据和归因公司服务器中的数据，欺诈者就能决定他们需要发送什么信息以“欺骗”归因公司来接受他们的伪造数据。一旦成功，欺诈者便可以创建无限量、看似真实的用户和应用内事件，甚至无需在任何手机上运行实际的应用。

< font-size: 16px;">如今的欺诈者可以得到真实的设备ID，这意味着，除非您使用了加密签名来确保数据是从应用中发送的，否则他们产生的虚假数据看起来就如同真实数据一般。

< font-size: 16px;">正因为Adjust SDK是开源的，下面的问题更值得我们深究：

< font-size: 16px;">如何保护我们用来验证请求的代码，< ">不会轻易遭他人读取并用来复制其行为？

< font-size: 16px;">Adjust之所以提供开源SDK，是因为我们确信客户有权了解他们的应用中发生了什么。除此之外，开源SDK促使我们与客户的合作，创建市场上最稳定且不会崩溃的SDK。事实上，归因SDK应该实现开源互联网创业化的原因有很多，我们在之前的文章中已有所着墨。

< font-size: 16px;">Adjust SDK如何保证安全？

< font-size: 16px;">为了使用Adjust进行跟踪，客户需要先将Adjust推广在线营销 SDK集成到他们的应用中。但是为了保护我们的客户免受伪造影响，我们还要求客户另外下载一个单独的库（library），并将其插入Adjust SDK。如果没有这个库，SDK并不安全，而我们也不会接受来自它的数据。

< font-size: 16px;">此库可以创建加密签名，而该签名将附加到从SDK发送的每个数据请求中。它可以防御所有已知的攻击方法，并由我们的安全专家团队不断更新。每个库都是不同的，这意味着如果一个应用受到攻击，相同的攻击方法不会在世界上的任何其他应用上起作用。此外，我们的安全团队会持续更新该库，因此任何破坏安全性的新尝试都将很快失效。

< font-size: 16px;">库的代码是随机生成的，之后经过特殊的编译过程，使攻击者无法对库进行反向工程以读取代码。

< font-size: 16px;">其他SDK是否更加安全？

< font-size: 16px;">大多数其他归因SDK都是闭源的，不会向使用它们的客户显示其代码，但这是否使它们更加安全？

< font-size: 16px;">“< ">答案是并不会。< ">”

< font-size: 16px;">在我们对SDK伪造的研究中，我们检查了市场中的闭源归因SDK，以了解它们在没有加密签名的情况下的安全性。遗憾的是，我们发现在每个案例中，这些SDK用来签署数据请求的函数都能非常轻易地以人类可读的形式提取，因此要攻破它是轻而易举。

< font-size: 16px;">实际上，对于某些SDK，我们的研究人员只花了几分钟就能找到并破解它们的签名功能——也就是说SDK的保护在短短的时间内便被完全破除。这会导致非常严重的后果，因为一旦攻击者这样做，他们就可以使用该签名来使虚假数据看起来完全真实。简而言之，攻击者可以轻松欺骗所有现行的闭源解决方案。

< font-size: 16px;">客户插入到SDK的自定义库里，并不包含归因SDK的全部函数，只包含防止伪造所必须的相关函数。这意味着我们可以用完全不同的方式编写、编译和保护它。

< font-size: 16px;">出于安全考量，我们无法透露用于保护库的所有方法，但是我们很乐意为客户与我们的网络安全专家之间连线，并提供进一步的解释。总而言之，保护开源SDK的安全性是绝对可行的，另一方面，闭源SDK不会遭受伪造的说法也是不正确的。