جعل و تقلید کیت توسعه نرم‌افزار (SDK Spoofing) چیست؟ آیا SDK Signature چاره کار است؟

تقلب موبایلی

یکی از انواع پیچیده‌تر تقلب موبایلی که به سختی قابل تشخیص است، جعل کیت توسعه نرم‌افزاری است که برای سادگی به آن جعل کیت خواهیم گفت. برای جعل کیت، فرد متقلب کیت توسعه نرم‌افزار را مهندسی معکوس می‌کند یا اگر کیت متن باز باشد، سورس کد را مطالعه و بررسی می‌کند تا متوجه شود که نصب‌ها‌ و رویدادهای مختلف چه‌طور توسط کیت ارسال می‌شوند؛ سپس فرد متقلب از این اطلاعات استفاده می‌کند تا کیت را جعل کند و نصب‌ها و رویدادهای غیرواقعی تولید کند. در این بلاگ متریکس، قصد داریم سه موضوع را توضیح دهیم: این نوع تقلب چیست، چگونه انجام می‌شود، و چگونه می‌توان آن را تشخیص داد.

پیش از آنکه وارد موضوع جعل کیت شویم، خوب است که خیلی سریع کیت توسعه نرم‌افزاری را توضیح دهیم. بساری از اپ‌ها برای دریافت خدمات مختلف مثل ارسال اعلان، رصد کاربران، و تحلیل داده‌های رفتاری کاربران از کیت‌های توسعه نرم‌افزار ارائه شده توسط شرکت‌های دیگر استفاده می‌کنند. این کیت‌ها ارتباط میان اپِ نصب شده روی دستگاه یک فرد حقیقی و شرکت ارائه کننده خدمات را برقرار می‌کنند. در این نوشتار، منظور از کیت توسعه نرم‌افزار، کیت ارائه شده برای خدمات رصد کاربران یا اتریبیوشن است که به صاحبان اپ‌ها کمک می‌کند تشخیص دهند کاربرانشان از چه کانال تبلیغاتی اقدام به نصب اپلیکیشن کرده‌اند.

در بلاگ متریکس بخوانید:  نصب تقلبی- بخش چهارم: انواع رایج تقلب موبایلی- قسمت دوم

جعل کیت چیست؟

مهم‌ترین کاربردِ کیت توسعه نرم‌افزار این است که پس از نصبِ اپ یا هر رویداد مهم دیگری که توسط کاربر در اپ انجام می‌شود، آن را اطلاع دهد. به این ترتیب صاحب اپ می‌تواند متوجه شود که کسانی که اپ را نصب می‌کنند از چه مسیری اقدام به نصب اپ می‌کنند؛ کاربران کدام کانال کیفیت بهتری دارند و مسائلی از این دست. جعل کیت وقتی اتفاق می‌افتد که فرد متقلب بتواند خود را به جای کیت توسعه نرم‌افزار جا بزند و با ارسال اطلاعاتی که صحیح به نظر می‌رسند نصب‌ها و رویدادهای غیر واقعی تولید کند. فرد متقلب معمولا ارسال نصب و رویدادها را از دستگاه‌های واقعی انجام می‌دهد و به همین دلیل تشخیص این نوع تقلب پیچیده است. در این صورت، صاحب اپ تصور می‌کند که اپش روی یک دستگاه واقعی نصب شده است و فردی که این دستگاه را در دست دارد از اپ استفاده می‌کند مثلا میان اقلام مختلف جستجو می‌کند، ثبت‌نام می‌کند، خرید می‌کند و غیره؛ در حالی که اپ اصلاً روی دستگاه نصب نشده است. جعل کیت به شدت برای فرد متقلب پول‌ساز است، چرا که تشخیص آن سخت است و هزینه آن به نسبت کم است.

جعل کیت چگونه انجام می‌شود؟

۱. فرد متقلب کیت توسعه نرم افزار را مهندسی معکوس می‌کند تا نحوه ارسال نصب‌ها و رویدادها را متوجه شود. در صورتی که کیت متن باز باشد به سادگی و با مطالعه کدِ کیت می‌توان دریافت که ارسالِ اطلاعات با چه قالبی و به چه آدرسی انجام می‌شود. در صورتی که کیت متن باز نباشد کار سخت تر است و لازم است که با بررسی بسته‌هایی که روی شبکه ارسال می‌شوند این اطلاعات را به دست آورد.
۲. پس از به دست آوردن قالب و آدرسی که اطلاعات باید برای آن ارسال شود، فرد متقلب با سعی و خطاهای فراوان متوجه می‌شود که چه اطلاعاتی را باید ارسال کند تا نصب صحیح شمارش شود. او سپس همین کار را برای هر یک از رویدادهایی که در اپ تعریف شده است انجام می‌دهد.
۳. وقتی که فرد متقلب متوجه شد که چه طور می‌تواند کیت توسعه نرم‌افزار را جعل کند، با استفاده از دستگاه‌های واقعی، این عمل را تکرار می‌کند تا نصب‌ها و رویدادهایی را تولید می‌کند که در واقع وجود ندارند و از این راه کسب درآمد می‌کند.

جعل کیت را چه طور تشخیص دهیم؟

در هر نوع تقلب موبایلی، بهترین کار برای تشخیص تقلب این است که خود را جایِ فرد متقلب بگذارید و تصور کنید که او با چه محدودیت‌هایی روبرو است؛ سپس از این محدودیت‌ها استفاده کنید تا بتوانید نقاط ضعف او را شناسایی کنید و از آن‌ها برای تشخیص تقلب استفاده کنید. در روشِ جعل کیت مهم‌ترین محدودیتی که فرد متقلب دارد این است که نصب واقعا اتفاق نیافتاده و فرد متقلب رفتار استاندارد کاربران شما را نمی‌داند که بتواند آن را تولید کند. پس گرچه فرد متقلب می‌تواند نصب‌ها و رویدادهایی تولید کند که واقعی به نظر می‌رسند، نمی‌تواند رفتار صحیح کاربران شما را جعل کند.

به عنوان مثال، ممکن است فرد متقلب بتواند علاوه بر نصب اپ، رویداد خرید یک کالا را جعل کند، اما او نمی‌داند که چند درصد از کاربرانِ اپ اقدام به خرید یک کالا می‌کنند پس یا کاربرانی می‌آورد که خیلی کم خرید می‌کنند یا خیلی زیاد. هر اپی پارامترهایی دارد که مختص به اپ است. مثلا چند درصد از کاربران هفت روز بعد به اپ باز می‌گردند، چند درصد از کاربران ثبت نام می‌کنند، چند درصد از کاربران مرحله اول بازی را انجام می‌دهند، چند درصد کالا به سبد خرید خود منتقل می‌کنند و هزاران پارامتر دیگر.

آیا امضای کیت توسعه نرم‌افزار (SDK Signature) حذف تقلب SDK Spoofing را تضمین می‌کند؟

بهترین راه تشخیص تقلب جعل کیت، این است که پارامترهای مختص اپِ خود را به دست آورید و کانال‌های مختلف را با یک کانال جذب کاربر مطمئن مقایسه کنید. دقت کنید که کاربرانی که در اثر تبلیغات جذب می‌شوند رفتاری مشابه کابران ارگانیک ندارند پس نصب‌های یک شبکه تبلیغاتِ مشکوک را با نصب‌های یک شبکه تبلیغات مطمئن و خوشنام مقایسه کنید نه با نصب‌های ارگانیک. روش‌هایی مثل امضای کیت توسعه نرم‌افزار (SDK Signature) که توسط ادجاست برای مقابله با این نوع تقلب ارائه شده است فقط زمان و هزینه کارِ فرد متقلب را اندکی بیشتر می‌کند و بیشتر پوششی برای امن‌تر کردن کیت توسعه نرم افزار متن باز این شرکت است. برای تشخیص تقلب‌های موبایلی باید همواره آگاهی خود را افزایش دهید، هوشیار باشید، داده‌هایتان را تحلیل و مقایسه کنید.

این نوشتار توسط علی سلطانی، مدیر محصول متریکس تهیه و تنظیم شده است

برچسب ها

به اشتراک بگذارید

نظر شما نظر خود را وارد نمایید

هر هفته از به‌‌روزترین مطالب موبایل مارکتینگ در متریکس آگاه شوید

آدرس ایمیل شما محفوظ خواهد بود و به هیچ عنوان جهت مقاصد تبلیغاتی استفاده نخواهد شد.