SDK伪造 开源与闭源,sdk集成和api集成-ESG跨境

SDK伪造 开源与闭源,sdk集成和api集成

伪造的SDK开源和闭源

通过查看应用程序通过归属SDK发快递的数据和归属公司服务器中的数据，欺诈者可以决定他们需要发快递什么信息来“欺骗”归属公司接受他们的假数据。一旦成功，欺诈者可以创建无限的、看似真实的用户和应用内事件，甚至无需在任何手机上运行实际的应用。

今天的欺诈者可以获得真实的设备ID，这意味着除非您使用加密签名来确保数据是从应用程序发快递的，否则他们产生的假数据看起来就像真实数据一样。

正因为Adjust SDK是开源的，以下问题值得我们深入研究:

我们如何保护我们用来验证请求的代码不被他人轻易读取并用来复制其行为

Adjust提供开源SDK，因为我们相信客户有权知道他们的应用程序中发生了什么。此外，开源SDK鼓励我们与客户合作，创建市场上最稳定的SDK，不会崩溃。事实上，SDK应该开源的原因有很多，我们在上一篇文章中已经有所涉及。

ADJUST SDK如何保证安全

为了使用Adjust进行跟踪，客户需要首先将Adjust SDK集成到他们的应用程序中。但为了保护我们的客户免受伪造，我们也要求他们下载一个单独的库，并将其插入到Adjust SDK中。没有这个库，SDK就不安全，我们也不会接受其中的数据。

这个库可以创建一个加密的签名，它将被附加到从SDK发快递的每个数据请求上。它可以抵御所有已知的攻击方法，并由我们的安全专家团队不断更新。每个库都是不同的，这意味着如果一个应用程序受到攻击，同样的攻击方法在世界上任何其他应用程序上都不会起作用。此外，我们的安全团队将不断更新库，因此任何破坏安全的新尝试都将很快失败。

库的代码是随机生成的，然后经过特殊的编译过程，攻击者无法逆向工程库读取代码。

其他SDK更安全吗

其他大多数属性SDK都是闭源的，不会向使用它们的客户展示它们的代码，但这是否使它们更加安全

“答案是否定的。”

在我们对SDK伪造的研究中，我们检查了市场上的闭源属性SDK，了解它们在没有加密签名的情况下的安全性。不幸的是，我们发现在每一种情况下，这些SDK用来签署数据请求的函数都可以很容易地以人类可读的形式提取出来，因此很容易被破解。

事实上，对于一些SDK，我们的研究人员只花了几分钟就找到并破解了它们的签名功能——也就是说，SDK的保护在短时间内被完全打破了。这将导致非常严重的后果，因为一旦攻击者这样做了，他们就可以使用签名使虚假数据看起来完全真实。简而言之，攻击者可以轻易地欺骗所有现有的闭源解决方案。

客户插入SDK的自定义库不包含归属于SDK的所有功能，而仅包含防止伪造所必需的相关功能。这意味着我们可以用完全不同的方式来编写、编译和保护它。

出于安全原因，我们不能透露用于保护库的所有方法，但我们很高兴将客户与我们的网络安全专家联系起来，并提供进一步的解释。总而言之，保护开源SDK的安全是绝对可行的。另一方面，说闭源SDK不会遭受伪造是不正确的。

特别声明：以上文章内容仅代表作者本人观点，不代表ESG跨境电商观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与ESG跨境电商联系。