قابلیت جدید متریکس: امکان امضا کردن کیت توسعه نرم افزار (SDK Signature)

اخبار

متخلفان موبایلی هر روز با نقشه‌های جدیدی برای تقلب و هدر دادن بودجه تبلیغاتی شما از راه می‌رسند. در این پست از بلاگ متریکس می‌خواهیم در مورد یکی از راه‌های مقابله با تقلب موبایلی صحبت کنیم؛ زمانی که جعل کیت توسعه نرم افزار به عنوان یکی از راه‌های نصب تقلبی رخ می‌دهد یکی از روش‌های خنثی کردن این نوع تقلب، امضای SDK است. ابتدا مفهوم SDK Signature را تعریف می‌کنیم، سپس در مورد اهمیت آن برای تبلیغ‌دهندگان توضیح می‌دهیم و در پایان شما را با روش فعال‌سازی آن در داشبورد متریکس آشنا می‌کنیم.

امضای SDK چیست؟

امضای SDK یک رشته‌ی متنی است که در تمام ریکوئست‌هایی که از SDK متریکس به سرورهای متریکس فرستاده می‌شود، قرار می‌گیرد. SDK با استفاده از اطلاعات ریکوئست یک امضا تولید می‌کند و آن را برای سرور می‌فرستد. اگر این امضای تولید شده با امضای ریکوئست یکی باشد، ریکوئست قبول می‌شود و در غیر این صورت، آن ریکوئست جعلی تشخیص داده می‌شود.

در بلاگ متریکس بخوانید:  SDK باز یا بسته؛ شما Open-source SDK را انتخاب می‌کنید یا Closed-source SDK؟

چرا امضای SDK اهمیت دارد و چه ارزشی برای شما خلق می‌کند؟

تعریف یک امضا روی بسته‌های SDK تضمین می‌کند که حمله‌های مجدد (replay attacks) دیگر کارساز نخواهند شد. این امضا در واقع یک پارامتر جدید و دینامیک برای URL است که قابل حدس زدن یا سرقت نیست و تنها یکبار قابل استفاده است.

ترکرهایی که از این قابلیت برخوردار هستند، با این امضا یک سیستم سفت و سخت ایجاد می‌کنند که برای متوقف کردن هکرها طراحی شده است. متریکس نیز از یک امضای پیچیده‌تر استفاده می‌کند که می‌توانید با تنظیم کردن آن در داشبورد خودتان بالاترین درجه از امنیت را برای جعل ترافیک و نصب‌ها به ارمغان آورید.

این رمز از چندین فیلد تشکیل شده است که منحصر به خود اپلیکیشن است و درون کیت توسعه نرم افزار (SDK) یکپارچه شده است. این امضا از ترکیب آن رمز با فیلدهای متعدد دیگر و همزمان با رخداد نصب ارسال می‌شود. قسمت بک اند ترکر متریکس ترافیک ناشی از SDK را از خلال این امضا تأیید می‌کند و درصورتی که بین آنها سازگاری وجود داشته باشد، نصب را می‌پذیرد.

یک نکته در مورد اپلیکیشن‌های جدید: با فعالسازی قابلیت SDK Signature در تنظیمات اپ، شما می‌توانید کلید رمز جدید خود را ایجاد کنید. البته کلیدهای رمز دائمی نیستند و می‌توانند درون داشبورد غیرفعال شوند: همچنین با فعالسازی گزینه Enforce SDK Signature می‌توانید تمامی نصب‌های ورژن‌های قبلی اپ را در نظر نگیرید. لازم به ذکر است که تمامی کاربران با دسترسی ادمین به اپ، امکان مشاهده و مدیریت رمزها را دارند و می‌توانند کلید رمزهای جدید ایجاد کنند.

هشدار: درصورتی که از نسخه قدیمی‌تر SDK متریکس استفاده می‌کنید که از قابلیت امضای SDK پشتیبانی نمی‌کند و شما این قابلیت را در داشبورد فعال کنید و گزینه Enforce را هم فعال کرده باشید تمامی ترافیک‌های اپ شما به عنوان دستگاه‌های غیر قابل اعتماد (untrusted devices) اتریبیوت خواهند شد.

همه چیز در مورد حفاظت از داده‌های شما در برابر ترافیک‌های جعلی است

در بلاگ متریکس بخوانید:  جعل و تقلید کیت توسعه نرم‌افزار (SDK Spoofing) چیست؟ آیا SDK Signature چاره کار است؟

فرد متقلب درحال جعل کیت توسعه نرم افزار

در صورتی که یک نصب نامعتبر شناخته شود ترافیک مورد نظر نادیده گرفته خواهد شد و از طریق کال بک آن را دریافت نمی‌کنید و شما قادر هستید که آن را در قسمت گزارش‌های داشبورد خود مشاهده کنید. آن نصب به عنوان «دستگاه غیر قابل اعتماد: ترکر امضای غیر معتبر» اتریبیوت خواهد شد و شما گزارش آن را در بخش گزارش‌های سرویس مقابله با تقلب به عنوان امضای غیر معتبر (invalid signature) مشاهده خواهید کرد.

پلتفرم یکپارچه آنالیز موبایل مارکتینگ در ایران

با ترکر متریکس، منابع جذب کاربران به اپلیکیشن خود را با دقت رصد کنید و از اتفاقات درون اپلیکیشن خود باخبر باشید

ورود به داشبورد

چطور امضای SDK را در داشبورد متریکس فعال کنم؟

تنظیمات پیشفرض ترکر متریکس به این صورت است که این امضا برای اپ‌ها خاموش است. به عبارت دیگر این قابلیت برای تمامی مشتریان متریکس در دسترس است اما به صورت خودکار در داشبورد شما فعال نیست.

محیط امضای کیت توسعه نرم افزار در داشبورد متریکس

اگر تمایل دارید این قابلیت روی اپلیکیشن خود پیاده سازی کنید دستور العمل زیر را اجرا کنید:

در ابتدا لازم است یک رمز اپ (App Secret) یا کلید محرمانه (Secret Key) بسازید:

  • به داشبورد اپلیکیشن خود در متریکس بروید و گزینه تنظیمات اپ را انتخاب کنید.
  • وارد بخش امضای SDK شوید و گزینه Create Secret یا «ایجاد کلید محرمانه» را کلیک کنید.
  • یک نام برای رمز اپ یا کلید محرمانه خود در فیلد مربوط انتخاب و وارد کنید.

توصیه ما: برای هر ورژن اپ و هر فروشگاه اپ، یک کلید محرمانه جداگانه استفاده کنید. نام کلید محرمانه بهتر است شامل ورژن اپ و فروشگاه باشد. مثلا “Secret_1.8.3_CB” برای ورژن ۱.۸.۳ در کافه‌بازار پیشنهاد می‌شود

  • تغییرات را ذخیره کنید

حالا کلید محرمانه جدید شما در فهرست رمزهای اپ ظاهر خواهند شد. هر کلید محرمانه یک شناسه مخفی دارد که به ترتیب زمان تولید و با شروع از ۱ شماره گذاری شده است. شما می‌توانید نام کلیدهای محرمانه‌ای را که تعریف کرده‌اید در هر زمانی که بخواهید با انتخاب گزینه «ویرایش»، تغییر دهید.

نکته: پیش از اینکه کلید محرمانه شما اثر کند، لازم است دولوپر تیم، فرایند یکپارچه‌سازی آن را با SDK متریکس در اپلیکیشن شما انجام دهد.

مزیت رقابتی امضای کیت توسعه نرم‌افزار (SDK Signature) در متریکس نسبت به دیگر ترکرها مانند ادجاست (Adjust)

از آنجایی که در میان سرویس‌های آنالیز موبایل مارکتینگ موجود در سراسر جهان، پلتفرم ادجاست به عنوان محبوب‌ترین و مورد استفاده‌ترین ترکر در میان مشتریان ایرانی شناخته شده است (پلتفرمی که برای اولین بار قابلیت SDK Signature را معرفی کرد) و متریکس می‌کوشد خلاء یک ترکر ایرانی را در بازار نوپای موبایل مارکتینگ ایران پر کند، لازم است به مزیت رقابتی ترکر متریکس از نظر قابلیت مورد بحث در این مقاله (امضای SDK) با دیگر ترکرهای ایرانی و سرویس‌های خارجی اشاره کنیم. این تفاوت در طراحی محصول را می‌توان در دو ویژگی خلاصه کرد: ۱- عدم دسترسی عمومی به کد و منبع نرم‌افزار و ۲- پویا تر بودن

  • Close Source: کیت توسعه نرم‌افزار متریکس برخلاف ترکری مانند ادجاست، open source نیست. این عدم دسترسی عمومی به کد و منبع محصول، به معنای در دسترس نبودن الگوریتم سازوکار محصول و از جمله امضای SDK از سوی تبلیغ‌دهنده است. همانطور که می‌دانید برای دستیابی به یک امضای دیجیتال، لازم است ۳ فاکتور در دسترس باشند: شناسه رمز اپ (App Secret ID)، داده‌های درخواست شده و ارسال شده میان SDK و سرور (نظیر نصب، خرید، لاگین شدن و سشن‌ها) و در نهایت الگوریتم. محدود بودن دسترسی به کدهای نرم‌افزاری در ترکر متریکس یکی از ویژگی‌های مهمی است که الگوریتم و سازوکار و عملکرد امضای کیت توسعه نرم‌افزاری پلتفرم متریکس را از دسترس متخلفان خارج می‌کند و احتمال بروز تقلب از نوع SDK Spoofing را پایین می‌آورد.
  • More Dynamic: امضای کیت توسعه نرم‌افزار متریکس به‌گونه‌ای طراحی شده است که فهمیدن الگوریتم آن پیچیده‌تر و دشوارتر است. اما چرا؟ در برخی از پلتفرم‌های آنالیز موبایل مارکتینگ مانند ادجاست، داده‌ها ثابت است و درخواست‌ها (requests) نیز تغییری نمی‌کند. این ایستایی راه را برای تقلب موبایلی از نوع جعل کیت توسعه نرم‌افزار (SDK Spoofing) هموار می‌کند. در حالی که ترکر متریکس، به رغم ثابت بودن داده‌های درحال تبادل میان SDK و سرور، برای هرکدام از درخواست‌ها کدهای داینامیک مشخصی تعریف می‌کند. این درخواست‌ها مورد توافق تبلیغ‌دهنده و ترکر متریکس است اما دسترسی را برای متخلفان و کسانی که می‌کوشند قفل امضای SDK را بشکنند محدود و دشوار می‌کند.
در بلاگ متریکس بخوانید:  تقلب موبایلی چیست و چرا مهم است؟ مقدمه‌ای بر نصب تقلبی

در این مطلب، به یکی از فیچرهای دیگر داشبورد متریکس پرداختیم که بیش از هرچیز به دغدغه‌های امنیتی شما در مورد حفاظت از داده‌ها پاسخ می‌دهد. با فعال‌سازی این قابلیت در ترکر متریکس، می‌توانید امنیت اپلیکیشن خود را تضمین کنید. برای آشنایی بیشتر با دیگر امکانات ترکر متریکس و کسب اطلاعات بیشتر در مورد خدمات ما با بلاگ متریکس همراه باشید.

به اشتراک بگذارید

نظر شما نظر خود را وارد نمایید

هر هفته از به‌‌روزترین مطالب موبایل مارکتینگ در متریکس آگاه شوید

آدرس ایمیل شما محفوظ خواهد بود و به هیچ عنوان جهت مقاصد تبلیغاتی استفاده نخواهد شد.