對于移動營銷人員來說，SDK偽造（SDK Spoofing）是發展最為迅速的威脅之一，而我們也經常聽到對于我們如何確定我們的開源SDK能有效預防此類假量的疑問。在這篇短文中，我們將介紹 Adjust 如何保證我們的數據安全，并且說明為何閉源SDK的偽造難度并非高于開源 SDK。

如果您并不了解什么是SDK偽造，可以瀏覽Adjust官網了解更多信息。

簡而言之，借由查看應用通過歸因SDK所發送的數據和歸因公司服務器中的數據，欺詐者就能決定他們需要發送什么信息以“欺騙”歸因公司來接受他們的偽造數據。

一旦成功，欺詐者便可以創建無限量、看似真實的用戶和應用內事件，甚至無需在任何手機上運行實際的應用。

如今的欺詐者可以得到真實的設備ID，這意味著，除非您使用了加密簽名來確保數據是從應用中發送的，否則他們產生的虛假數據看起來就如同真實數據ㄧ般。

我們的安全專家Abdullah在他的文章中談到了這一基本理念。

正因為Adjust SDK是開源的，下面的問題更值得我們深究：如何保護我們用來驗證請求的代碼，不會輕易遭他人讀取并用來復制其行為。

Adjust之所以提供開源SDK，是因為我們確信客戶有權了解他們的應用中發生了什么。除此之外，開源SDK促使我們與客戶的合作，創建市場上最穩定且不會崩潰的SDK。事實上，歸因SDK應該實現開源化的原因有很多，我們在之前的文章中已有所著墨。

Adjust SDK如何保證安全？

為了使用Adjust進行跟蹤，客戶需要先將Adjust SDK集成到他們的應用中。但是為了保護我們的客戶免受偽造影響，我們還要求客戶另外下載一個單獨的庫（library），并將其插入Adjust SDK。如果沒有這個庫，SDK并不安全，而我們也不會接受來自它的數據。

此庫可以創建加密簽名，而該簽名將附加到從SDK發送的每個數據請求中。它可以防御所有已知的攻擊方法，并由我們的安全專家團隊不斷更新。每個庫都是不同的，這意味著如果一個應用受到攻擊，相同的攻擊方法不會在世界上的任何其他應用上起作用。此外，我們的安全團隊會持續更新該庫，因此任何破壞安全性的新嘗試都將很快失效。

庫的代碼是隨機生成的，之后經過特殊的編譯過程，使攻擊者無法對庫進行反向工程以讀取代碼?。

其他SDK是否更加安全？

大多數其他歸因SDK都是閉源的，不會向使用它們的客戶顯示其代碼，但這是否使它們更加安全？

答案是并不會。

在我們對SDK偽造的研究中，我們檢查了市場中的閉源歸因SDK，以了解它們在沒有加密簽名的情況下的安全性。遺憾的是，我們發現在每個案例中，這些SDK用來簽署數據請求的函數都能非常輕易地以人類可讀的形式提取，因此要攻破它是輕而易舉。

實際上，對于某些SDK，我們的研究人員只花了幾分鐘就能找到并破解它們的簽名功能——也就是說SDK的保護在短短的時間內便被完全破除。這會導致非常嚴重的后果，因為一旦攻擊者這樣做，他們就可以使用該簽名來使虛假數據看起來完全真實。

簡而言之，攻擊者可以輕松欺騙所有現行的閉源解決方案。

客戶插入到SDK的自定義庫里，并不包含歸因SDK的全部函數，只包含防止偽造所必須的相關函數。這意味著我們可以用完全不同的方式編寫、編譯和保護它。

出于安全考量，我們無法透露用于保護庫的所有方法，但是我們很樂意為客戶與我們的網絡安全專家之間連線，并提供進一步的解釋。

總而言之，保護開源SDK的安全性是絕對可行的，另一方面，閉源SDK不會遭受偽造的說法也是不正確的。

關于 Adjust

Adjust是行業領先的移動數據監測和防欺詐平臺，為全球移動應用營銷商提供高質量的分析、監測、防欺詐及網絡完全解決方案，從而幫助他們更精準、更快速地作出營銷決策。

Adjust是全球主要平臺的營銷合作伙伴，包括Facebook、Google、Snap、Twitter、Line和騰 訊。總計已有25,000 余個應用選擇了Adjust 的解決方案以優化其市場表現。Adjust 創立于2012年，現已在柏林、紐約、舊金山、圣保羅、巴黎、倫敦、莫斯科、伊斯坦布爾、特拉維夫、首爾、上海、北京、東京、班加羅爾和新加坡均設有全球辦公室。

Adjust近期收購了數據聚合平臺Acquired.io和網絡安全與人工智能初創公司Unbotify。在2019年2月，與日本領先的移動營銷代理商Adways達成戰略合作伙伴關系。這將助力Adjust達成統一廣告主之營銷工作，打造一流的產品的目標。