متخلفان موبایلی هر روز با نقشههای جدیدی برای تقلب و هدر دادن بودجه تبلیغاتی شما از راه میرسند. در این پست از بلاگ متریکس میخواهیم در مورد یکی از راههای مقابله با تقلب موبایلی صحبت کنیم؛ زمانی که جعل کیت توسعه نرم افزار به عنوان یکی از راههای نصب تقلبی رخ میدهد یکی از روشهای خنثی کردن این نوع تقلب، امضای SDK است. ابتدا مفهوم SDK Signature را تعریف میکنیم، سپس در مورد اهمیت آن برای تبلیغدهندگان توضیح میدهیم و در پایان شما را با روش فعالسازی آن در داشبورد متریکس آشنا میکنیم.
امضای SDK چیست؟
امضای SDK یک رشتهی متنی است که در تمام ریکوئستهایی که از SDK متریکس به سرورهای متریکس فرستاده میشود، قرار میگیرد. SDK با استفاده از اطلاعات ریکوئست یک امضا تولید میکند و آن را برای سرور میفرستد. اگر این امضای تولید شده با امضای ریکوئست یکی باشد، ریکوئست قبول میشود و در غیر این صورت، آن ریکوئست جعلی تشخیص داده میشود.
چرا امضای SDK اهمیت دارد و چه ارزشی برای شما خلق میکند؟
تعریف یک امضا روی بستههای SDK تضمین میکند که حملههای مجدد (replay attacks) دیگر کارساز نخواهند شد. این امضا در واقع یک پارامتر جدید و دینامیک برای URL است که قابل حدس زدن یا سرقت نیست و تنها یکبار قابل استفاده است.
ترکرهایی که از این قابلیت برخوردار هستند، با این امضا یک سیستم سفت و سخت ایجاد میکنند که برای متوقف کردن هکرها طراحی شده است. متریکس نیز از یک امضای پیچیدهتر استفاده میکند که میتوانید با تنظیم کردن آن در داشبورد خودتان بالاترین درجه از امنیت را برای جعل ترافیک و نصبها به ارمغان آورید.
این رمز از چندین فیلد تشکیل شده است که منحصر به خود اپلیکیشن است و درون کیت توسعه نرم افزار (SDK) یکپارچه شده است. این امضا از ترکیب آن رمز با فیلدهای متعدد دیگر و همزمان با رخداد نصب ارسال میشود. قسمت بک اند ترکر متریکس ترافیک ناشی از SDK را از خلال این امضا تأیید میکند و درصورتی که بین آنها سازگاری وجود داشته باشد، نصب را میپذیرد.
یک نکته در مورد اپلیکیشنهای جدید: با فعالسازی قابلیت SDK Signature در تنظیمات اپ، شما میتوانید کلید رمز جدید خود را ایجاد کنید. البته کلیدهای رمز دائمی نیستند و میتوانند درون داشبورد غیرفعال شوند: همچنین با فعالسازی گزینه Enforce SDK Signature میتوانید تمامی نصبهای ورژنهای قبلی اپ را در نظر نگیرید. لازم به ذکر است که تمامی کاربران با دسترسی ادمین به اپ، امکان مشاهده و مدیریت رمزها را دارند و میتوانند کلید رمزهای جدید ایجاد کنند.
هشدار: درصورتی که از نسخه قدیمیتر SDK متریکس استفاده میکنید که از قابلیت امضای SDK پشتیبانی نمیکند و شما این قابلیت را در داشبورد فعال کنید و گزینه Enforce را هم فعال کرده باشید تمامی ترافیکهای اپ شما به عنوان دستگاههای غیر قابل اعتماد (untrusted devices) اتریبیوت خواهند شد.
همه چیز در مورد حفاظت از دادههای شما در برابر ترافیکهای جعلی است
در صورتی که یک نصب نامعتبر شناخته شود ترافیک مورد نظر نادیده گرفته خواهد شد و از طریق کال بک آن را دریافت نمیکنید و شما قادر هستید که آن را در قسمت گزارشهای داشبورد خود مشاهده کنید. آن نصب به عنوان «دستگاه غیر قابل اعتماد: ترکر امضای غیر معتبر» اتریبیوت خواهد شد و شما گزارش آن را در بخش گزارشهای سرویس مقابله با تقلب به عنوان امضای غیر معتبر (invalid signature) مشاهده خواهید کرد.
[metrix_cta link=”https://dashboard.metrix.ir” text_link=”ورود به داشبورد” params=”utm=college&utm=google” title=”پلتفرم یکپارچه آنالیز موبایل مارکتینگ در ایران” content=”با ترکر متریکس، منابع جذب کاربران به اپلیکیشن خود را با دقت رصد کنید و از اتفاقات درون اپلیکیشن خود باخبر باشید” image=”https://blog.metrix.ir/wp-content/uploads/2018/12/favicon.png”]
چطور امضای SDK را در داشبورد متریکس فعال کنم؟
تنظیمات پیشفرض ترکر متریکس به این صورت است که این امضا برای اپها خاموش است. به عبارت دیگر این قابلیت برای تمامی مشتریان متریکس در دسترس است اما به صورت خودکار در داشبورد شما فعال نیست.
اگر تمایل دارید این قابلیت روی اپلیکیشن خود پیاده سازی کنید دستور العمل زیر را اجرا کنید:
در ابتدا لازم است یک رمز اپ (App Secret) یا کلید محرمانه (Secret Key) بسازید:
- به داشبورد اپلیکیشن خود در متریکس بروید و گزینه تنظیمات اپ را انتخاب کنید.
- وارد بخش امضای SDK شوید و گزینه Create Secret یا «ایجاد کلید محرمانه» را کلیک کنید.
- یک نام برای رمز اپ یا کلید محرمانه خود در فیلد مربوط انتخاب و وارد کنید.
توصیه ما: برای هر ورژن اپ و هر فروشگاه اپ، یک کلید محرمانه جداگانه استفاده کنید. نام کلید محرمانه بهتر است شامل ورژن اپ و فروشگاه باشد. مثلا “Secret_1.8.3_CB” برای ورژن 1.8.3 در کافهبازار پیشنهاد میشود
- تغییرات را ذخیره کنید
حالا کلید محرمانه جدید شما در فهرست رمزهای اپ ظاهر خواهند شد. هر کلید محرمانه یک شناسه مخفی دارد که به ترتیب زمان تولید و با شروع از 1 شماره گذاری شده است. شما میتوانید نام کلیدهای محرمانهای را که تعریف کردهاید در هر زمانی که بخواهید با انتخاب گزینه «ویرایش»، تغییر دهید.
نکته: پیش از اینکه کلید محرمانه شما اثر کند، لازم است دولوپر تیم، فرایند یکپارچهسازی آن را با SDK متریکس در اپلیکیشن شما انجام دهد.
مزیت رقابتی امضای کیت توسعه نرمافزار (SDK Signature) در متریکس نسبت به دیگر ترکرها مانند ادجاست (Adjust)
از آنجایی که در میان سرویسهای آنالیز موبایل مارکتینگ موجود در سراسر جهان، پلتفرم ادجاست به عنوان محبوبترین و مورد استفادهترین ترکر در میان مشتریان ایرانی شناخته شده است (پلتفرمی که برای اولین بار قابلیت SDK Signature را معرفی کرد) و متریکس میکوشد خلاء یک ترکر ایرانی را در بازار نوپای موبایل مارکتینگ ایران پر کند، لازم است به مزیت رقابتی ترکر متریکس از نظر قابلیت مورد بحث در این مقاله (امضای SDK) با دیگر ترکرهای ایرانی و سرویسهای خارجی اشاره کنیم. این تفاوت در طراحی محصول را میتوان در دو ویژگی خلاصه کرد: 1- عدم دسترسی عمومی به کد و منبع نرمافزار و 2- پویا تر بودن
- Close Source: کیت توسعه نرمافزار متریکس برخلاف ترکری مانند ادجاست، open source نیست. این عدم دسترسی عمومی به کد و منبع محصول، به معنای در دسترس نبودن الگوریتم سازوکار محصول و از جمله امضای SDK از سوی تبلیغدهنده است. همانطور که میدانید برای دستیابی به یک امضای دیجیتال، لازم است 3 فاکتور در دسترس باشند: شناسه رمز اپ (App Secret ID)، دادههای درخواست شده و ارسال شده میان SDK و سرور (نظیر نصب، خرید، لاگین شدن و سشنها) و در نهایت الگوریتم. محدود بودن دسترسی به کدهای نرمافزاری در ترکر متریکس یکی از ویژگیهای مهمی است که الگوریتم و سازوکار و عملکرد امضای کیت توسعه نرمافزاری پلتفرم متریکس را از دسترس متخلفان خارج میکند و احتمال بروز تقلب از نوع SDK Spoofing را پایین میآورد.
- More Dynamic: امضای کیت توسعه نرمافزار متریکس بهگونهای طراحی شده است که فهمیدن الگوریتم آن پیچیدهتر و دشوارتر است. اما چرا؟ در برخی از پلتفرمهای آنالیز موبایل مارکتینگ مانند ادجاست، دادهها ثابت است و درخواستها (requests) نیز تغییری نمیکند. این ایستایی راه را برای تقلب موبایلی از نوع جعل کیت توسعه نرمافزار (SDK Spoofing) هموار میکند. در حالی که ترکر متریکس، به رغم ثابت بودن دادههای درحال تبادل میان SDK و سرور، برای هرکدام از درخواستها کدهای داینامیک مشخصی تعریف میکند. این درخواستها مورد توافق تبلیغدهنده و ترکر متریکس است اما دسترسی را برای متخلفان و کسانی که میکوشند قفل امضای SDK را بشکنند محدود و دشوار میکند.
در این مطلب، به یکی از فیچرهای دیگر داشبورد متریکس پرداختیم که بیش از هرچیز به دغدغههای امنیتی شما در مورد حفاظت از دادهها پاسخ میدهد. با فعالسازی این قابلیت در ترکر متریکس، میتوانید امنیت اپلیکیشن خود را تضمین کنید. برای آشنایی بیشتر با دیگر امکانات ترکر متریکس و کسب اطلاعات بیشتر در مورد خدمات ما با بلاگ متریکس همراه باشید.
آیا این مقاله نیاز شما را برطرف کرد؟
برای امتیازدهی روی ستارهها کلیک کنید
میانگین 0 / 5. تعداد آرا 0
اولین نفر باشید که به این مقاله امتیاز میدهید