2018移动广告作弊与反作弊(三方sdk伪造)

首先从工作以来一直接触的是广告sdk,做广告sdk的测试工作,对于移动端的广告有一定的了解,对今年的这种sdk第三方统计平台的伪造请求的方式,有一些看法。

第一:sdk的源码基本都可以看到,那么三方的请求方式,逻辑,特点都可以摸清楚。

第二:所谓的一些md5,一些加密方式,如果是以抓包的方式,去反解密,是不可能解出来的,但是在拿到源码的情况下,是很轻易知道怎么加密的,以相同的方式去加密就可以了。

第三:新出的对每一个app在后台创建的安全id,需要匹配相同才算新装,在伪造的时候也去请求服务器,去拿一下这个id,然后进入之后的流程就没有问题。

第四:关于ip问题,作弊者也会把自己的发送端放在普通的用户的手机上,在一些app中放有作弊的sdk,然后设备信息和ip都是真实的信息,第三方当接收的时候,无论是设备信息,还是统计字段,还是点击广告的ip等一切流程,都是看似真实。

移动端的广告转化方式的统计原理:

点击一条广告链接,如果是一条网盟广告可能会发生多次跳转,但是最终会进入统计平台,统计平台会返回一条带refer的商店链接,手机检测到商店链接会打开应用市场,当用户安装完成后,打开软件的时候,因为app集成了第三方统计平台的,手机发出的广播,会被第三方接收,第三方sdk会带有设备信息,时间等比较多的信息,和加密字段一起上报,当三方认为这是一条正确的转化之时,会反馈给广告平台,广告平台会匹配(一些渠道信息和作弊信息)确认转化,但是广告平台的反作弊规则不会比三方严格。

补充:这是cpi的单子会这个流程,如果是事件类的,作弊的人可能会添加事件,因为留存是大部分广告主比较关心的数据,所以作弊玩家会添加一些事件给第三方上报,每天上报一些,保持留存数据,和事件数据。理论上,如果保持所有的广告作弊,可以保持留存100%,说实话,付费类的事件,如果不是看账户里的钱和订单数有明显的统计,这类事件也是作弊者很容易做到的。

对于从今年开始流行的这种作弊的方式,我认为可以通过一些手段避免的,首先从开发着比较容易做到的就是防止抓包。

因为作弊者当需要作弊时,他需要从应用市场把应用下载下来,进行抓包,对第三方给开发者的id进行抓包,判断集成的第三方的版本,事件,等等一些信息。如果app禁止抓包,作弊者无从知道这些信息,作弊者没有参考,也就无从下手。

针对这一点因为涉及到一些测试同学的问题,建议+防抓包的开关,一个简单的请求。

例如:请求baidu.com/ssl    返回的结果带有{asd:a}这种无厘头的字段,那么就可以抓包,反之就不可以,这个网络请求测试同学可以用抓包软件伪造。

            本地检测文件的形式也可以,比如检测sd卡有没有叫ebter的文件。都是可以的。

对于反编译的那种我这就没法表示什么了,那就需要看各家的混淆,打包能力了,还有就是比如wirshark这种不需要设置代理的软件就需要在传输中使用https进行避免

这种方式可以给作弊者很麻烦的去作弊,因为每个app的混淆,打包,都不相同,很难去作弊。

然后

如果是第三方的大大能看到的话,

我的建议是

1.不要泄漏sdk的源码,因为这种也算是交易类的东西把,很简单的方式就是,每个版本的sdk都集成好,请求里边的逻辑作弊者都不需要看,里边的一些统计字段,只需要改成想改的很容易进行作弊。代码逻辑可以说是和正常的一模一样。

2.如果是必要开源的情况下,需要给集成的客户一些空间,自己去定义加密算法,就算比较简单的有人用1+时间戳,有的人用2+时间戳,那么作弊者需要1对1的去研究每个开发者的特点,而不是现在这种都是死数据。可以减一些第三方的算法,这样也会减轻服务器的压力。然后这个加密算法只能是你知我知,不能是像现在开发者id一样传来传去很容易抓包,像银行取钱一样,只需要告诉对不对就好了。

3.第三方也可以针对自己的sdk做一下防抓包,相信正常的用户不会谁去做抓包这件事的,而且在海外那个国家有墙,这么个东西,代理平民用的更少了,第三方可以做成如果开启代理,选择过后发,等没有代理的时候再发。


自己写的乱七八糟,可能很多人看不懂,请原谅我是个学渣。

简单的总结起来:

开发者防止自己的app被作弊的方式是,防抓包。

然后说一下自己的预测,新的作弊方式:

因为现在的广告公司是真的多,拥有自己的广告sdk的公司也比较多,因为运营同学关注的自己家渠道的数据时只会关系效果好不好,很少会关注集成自己sdk的这家会不会作弊,所以可以说是基本没人能发现,就算效果不好也只能说app的问题或者怎么怎么样,针对这一问题,需要各家公司保持谨慎~~~包括现在比较复杂的facebook的广告sdk,说实话,作弊都很简单。

说一下,关于新型的大数据模型,首先相对论的方式,什么是没有被作弊,什么是作弊的,这两个进行对比,或者是一一对比找特殊的,作弊者不会只刷一个app的转化,通常是直接拉过来单子,一起去弄,并且作弊者一般都是懂这行的人,和一些网盟都是合作关系,真假量混合进行,数据上首先都没有区别,所以看数据也不是那么准确。

本人的微信:欢迎各位大佬和我探讨,自己失业在家,欢迎来撩。

2018移动广告作弊与反作弊(三方sdk伪造)_第1张图片

你可能感兴趣的:(2018移动广告作弊与反作弊(三方sdk伪造))