SDK Signature
Adjust SDK Signature est une solution de lutte contre l'usurpation. La bibliothèque renforce la connexion du SDK Adjust vers les serveurs Adjust à l'aide d'un algorithme d'altération propriétaire, ainsi qu'un brouillage et des vérifications de sécurité, pour garantir sa propre intégrité.
La bibliothèque de SDK Signature est conçue pour s'intégrer facilement et fonctionner parfaitement avec le SDK Adjust, sans besoin d'ajouter une seule ligne de code.
Fonctionnement
La bibliothèque de SDK Signature n'est pas un moteur contre la fraude. Elle ne peut pas protéger de la fraude au niveau utilisateur, par exemple contre l'exploitation de bugs dans l'application, contre les modifications apportées aux ressources situées hors de l'application d'origine ou contre les erreurs logiques de l'application.
Lorsque le SDK Adjust envoie des informations aux serveurs Adjust, les informations sont chiffrées à l'aide de TLS (Transport Layer Security), un protocole de chiffrement du trafic web standard dans le secteur. Si TLS évite que vos informations ne soient lues par des personnes inappropriées, ces dernières peuvent tout de même envoyer des données frauduleuses d'installations ou d'événements au endpoint de votre application.
La bibliothèque de SDK Signature protège les connexions du SDK aux serveurs Adjust à l'aide d'algorithmes d'altération propriétaires, associés au brouillage et à des vérifications de sécurité, afin de garantir que les serveurs Adjust rejettent toutes les informations envoyées par des tierces parties. Le serveur vérifie que toutes les requêtes comportent une signature valide. Toute information non signée ou signée avec une signature non valide est rejetée, garantissant ainsi que vous recevez uniquement des informations valides.
Pour bien commencer
La bibliothèque de SDK Signature est disponible pour Android, iOS et Unity. Pour intégrer la bibliothèque :
- Téléchargez la bibliothèque SDK Signature correspondant à votre plateforme depuis GitHub.
- Suivez le guide d'instructions de votre plateforme.
Si vous utilisez Flutter, Cordova ou React Native, suivez les instructions pour iOS et Android pour ajouter la prise en charge de la bibliothèque SDK Signature sur chaque plateforme. Les autres frameworks multiplateformes ne sont pas pris en charge.
- Testez votre configuration et vérifiez le fonctionnement de votre intégration.
Gérer vos empreintes digitales de certificat
Les empreintes digitales de certificat sont uniquement requis pour les applications qui ciblent Android.
Lorsque vous intégrez la bibliothèque de SDK Signature dans votre application, toutes les demandes envoyées à Adjust par le SDK Adjust sont signées. Le SDK Adjust transmettra également les informations pertinentes aux serveurs Adjust, y compris l'empreinte digitale de votre certificat de signature.
Pour obtenir vos empreintes digitales de certificat, suivez la documentation de votre plateforme.
Ajouter des signatures à Adjust Suite
Lorsque vous avez obtenu vos empreintes digitales de certificat, procédez comme suit pour les ajouter à votre liste d'inclusion :
- Sélectionnez votre application dans AppView pour ouvrir l'écran des détails de l'application.
- Sélectionnez l'onglet Protection.
- Sélectionnez le bouton Modifier (
) dans la section Installations suspicieuses. - Sous la section Empreintes digitales Android, sélectionnez Nouvelle empreinte digitale.
- Collez l'empreinte digitale dans la zone de texte qui apparaît.
- Sélectionnez Add.
- Suivrez ces mêmes étapes pour chaque empreinte digitale que vous souhaitez ajouter à la liste d'inclusion.
) dans la section Installations suspicieuses.Et voilà ! Votre empreinte digitale est maintenant dans la liste d'inclusion de votre application.
Si vous mettez à jour vos empreintes digitales de certificat, vous devez également les mettre à jour dans Adjust.
Vous pouvez désactiver une empreinte digitale si vous ne l'utilisez plus.
- Sélectionnez votre application dans AppView pour ouvrir l'écran des détails de l'application.
- Sélectionnez l'onglet Protection.
- Sélectionnez le bouton Modifier () dans la section Installations suspicieuses.
- Sous la section Empreintes digitales Android, trouvez l'empreinte digitale que vous souhaitez désactiver.
- Sélectionnez Désactiver.
Le trafic contenant l'empreinte digitale désactivée est rejetée.
Ajouter des signatures à l'aide de l'API Automate
Si vous utilisez l'API Automate pour gérer vos applications, vous pouvez configurer vos signatures Android à l'aide du endpoint /app. Suivez les instructions de l'API Automate pour configurer des signatures Android afin d'ajouter vos signatures à votre application à l'aide de l'API Automate. Les signatures ajoutées à l'aide de cette méthode sont automatiquement insérées dans la liste d'inclusion.
Appliquer la validation par signature
Lorsque vous avez intégré la bibliothèque de SDK Signature dans votre application, vous devez mettre en place l'utilisation des signatures dans Adjust. Si la signature n'est pas mise en place, toutes les demandes du SDK sont acceptées sans aucune validation.
Adjust n'applique pas automatiquement la validation par signature. Cela vous laisse le temps d'attendre que vos utilisateurs téléchargent et ouvrent la version mise à jour de votre application avec la signature intégrée pour enregistrer des installations.
Adjust conseille d'attendre environ 2 fenêtres d'attribution avant d'appliquer SDK Signature.
Exemple : Avec la fenêtre d'attribution Adjust par défaut de 7 jours, vous devez attendre 14 jours avant d'appliquer SDK Signature. Avec ce délai, un utilisateur qui a téléchargé votre application il y a quelque temps mais qui vient de l'ouvrir sera tout de même crédité d'une installation, même si elle ne comporte pas la signature.
Suivez les étapes suivantes pour appliquer la validation par signature.
- Sélectionnez votre application dans AppView pour ouvrir l'écran des détails de l'application.
- Sélectionnez l'onglet Protection.
- Sélectionnez le bouton Modifier () dans la section Installations suspicieuses.
- Activez Rejeter les installations suspicieuses pour appliquer la validation par signature.
Gérer vos ID de secret
Un ID de secret identifie de manière unique une application utilisation une version spécifique de la bibliothèque de Signature sur une plateforme spécifique. Les ID de secret sont générés par Adjust lorsque des demandes signées sont envoyées par le SDK Adjust.
Vous pouvez choisir les ID de secret qui doivent être retenus et ceux qui doivent être ignorés. Par défaut, tous les ID de secret sont actifs. Si vous définissez un ID de secret comme étant inactif lorsque la validation par signature est mise en place, toutes les demandes envoyées depuis votre application avec la version et la plateforme correspondantes de la bibliothèque de SDK Signature sont rejetées.
Adjust conseille de désactiver un ID de secret si :
- Il ne contribue plus au reporting de votre installation.
- Vous avez entièrement publié une nouvelle version de votre application (sur toutes les plateformes et les stores).
La désactivation d'un ID de secret prend effet immédiatement. Lorsque SDK Signature est actif, les installations d'applications reportées avec un ID de secret désactivé sont rejetées et placées dans la catégorie Untrusted Devices. Adjust continuera de suivre les sessions et les événements de ces appareils, mais les informations ne seront visibles dans les rapports du dashboard que si vous utilisez la Suite de prévention de la fraude.
Pour gérer vos ID de secret :
- Sélectionnez votre application dans AppView pour ouvrir l'écran des détails de l'application.
- Sélectionnez l'onglet Protection.
- Sélectionnez le bouton Modifier () dans la section Installations suspicieuses.
- Sous la section Secrets, réalisez l'une des actions suivantes :
- Sélectionnez Désactiver pour désactiver l'ID de secret sélectionné.
- Sélectionnez Modifier pour changer le nom de l'ID de secret sélectionné.
Vous pouvez voir vos ID désactivés en faisant permuter l'option Afficher les ID de secret désactivés.