SDK Signature(SDK 서명)

Adjust의 SDK 서명은 스푸핑을 방지하는 솔루션입니다. 라이브러리는 독점 맹글링 알고리즘을 통해 Adjust SDK와 Adjust 서버 간의 연결을 강화하고, 자체 무결성을 보장하기 위해 난독화 및 보안 검사를 사용합니다.

SDK Signature 라이브러리는 추가 코드 없이 Adjust SDK와 쉽게 연동되고 원활하게 작동하도록 설계되었습니다.

작동 원리

중요:

SDK Signature 라이브러리는 치팅 방지 엔진이 아닙니다. 앱의 버그 악용, 원본 앱 외부의 리소스 변경 또는 앱 로직 오류와 같은 사용자 수준의 해킹은 차단할 수 있습니다.

Adjust SDK가 Adjust 서버로 정보를 전송할 때, 해당 정보는 웹 트래픽에 대한 업계 표준 암호화 프로토콜인 TLS(Transport Layer Security)를 사용하여 암호화됩니다. TLS는 악의적인 사용자가 앱의 정보를 읽는 것을 방지하지만, 앱 엔드포인트로 허위 설치 또는 이벤트 데이터를 전송하는 것은 차단할 수 없습니다.

SDK Signature 라이브러리는 난독화 및 보안 검사와 결합된 독점 맹글링 알고리즘을 사용하여 Adjust 서버에 대한 SDK 연결을 보호하여 Adjust 서버가 서드파티가 전송하는 모든 정보를 거부하도록 합니다.서버는 모든 요청에 유효한 서명이 있는지 확인합니다. 서명 되지 않았 거나 유효하지 않은 서명 으로 서명된 정보는 거부되어 유효한 정보만 받을 수 있습니다.

시작하기

중요:

SDK Signature 라이브러리는 SDK v5에 번들로서 기본 제공됩니다. 별도의 설치는 SDK v4에서만 필요합니다.

SDK Signature 라이브러리는 Android, iOS, Unity에서 이용 가능합니다. 라이브러리 연동 방법:

  1. (SDK v4에만 해당): GitHub 에서 플랫폼에 맞는 SDK Signature 라이브러리를 다운로드합니다.
  2. 플랫폼별 연동 가이드를 참조하시기 바랍니다.
:

Flutter, Cordova 또는 React Native를 사용하는 경우, iOS 및 Android 설명서를 참조하여 각 플랫폼에 대한 SDK 라이브러리 지원을 추가하시기 바랍니다. 기타 멀티 플랫폼 프레임워크는 지원되지 않습니다.

  1. 구성을 테스트하고 연동이 작동하는지 확인합니다.

인증서 핑거프린트 관리

참고:

인증서 핑거프린트는 Android 를 타겟팅하는 앱에만 필요합니다.

SDK Signature 라이브러리를 앱에 연동하면 Adjust SDK가 Adjust로 전송하는 모든 요청이 서명됩니다. Adjust SDK는 또한 서명 인증서의 핑거프린트를 포함한 관련 정보를 Adjust 서버로 전송합니다.

인증서 핑거프린트를 얻으려면 플랫폼별 문서를 참조하시기 바랍니다.

중요:

서명 인증서의 핑거프린트를 허용 리스트에 추가해야 합니다. 허용 리스트에 추가된 핑거프린트가 없는 경우 앱으로부터의 트래픽이 스푸핑될 수 있습니다.

Adjust suite에서 Signature 추가

인증서 핑거프린트를 받으면 다음을 수행하여 이를 허용 리스트에 추가합니다.

  1. AppView에서 앱을 선택하여 앱 상세 화면을 엽니다.
  2. Protection 탭을 선택합니다.
  3. 의심되는 설치 섹션의 편집 버튼()을 선택합니다.
  4. Android 핑거프린팅 섹션에서 새 핑거프린트 를 선택합니다.
  5. 텍스트 박스에 핑거프린트를 붙여넣기 합니다.
  6. 추가 를 선택합니다.
  7. 허용 리스트에 추가하고자 하는 각 핑거프린트에 대해 이 단계를 반복합니다.

이제 끝입니다! 이제 핑거프린트가 앱의 허용 리스트에 추가되었습니다.

참고:

Signature 인증서를 업데이트하는 경우, Adjust에서 인증서 핑거프린트를 반드시 업데이트해야 합니다.

더 이상 사용되지 않는 핑거프린트는 비활성화할 수 있습니다.

  1. AppView에서 앱을 선택하여 앱 상세 화면을 엽니다.
  2. Protection 탭을 선택합니다.
  3. 의심되는 설치 섹션의 편집 버튼()을 선택합니다.
  4. Android 핑거프린트 섹션에서 비활성화하고자 하는 핑거프린트를 찾습니다.
  5. 비활성화 를 선택합니다.

비활성화된 핑거프린트를 포함한 트래픽은 의심스러운 트래픽으로 거부됩니다.

Automate API를 사용한 Signature 추가

Automate API를 사용하여 앱을 관리하는 경우, /app 엔드포인트를 사용하여 Android Signature을 설정할 수 있습니다. Automate API의 Android Signature 설정 가이드를 참조 하여, Automate API를 사용하여 앱에 Signature을 추가하시기 바랍니다. 이 방법을 사용하여 추가된 Signature은 자동으로 허용 리스트에 추가됩니다.

Signature 검증 시행

SDK Signature 라이브러리를 앱에 연동한 이후에는 Adjust에서 서명 사용을 활성화해야 합니다. 서명이 활성화되지 않은 경우, 모든 SDK 요청은 검증 없이 수락됩니다.

Adjust는 Signature 검증을 자동으로 시행하지 않습니다. 이를 통해 사용자가 앱을 다운로드하고 Signature이 통합된 업데이트 버전을 실행하여 설치를 기록할 때까지 기다릴 수 있는 시간을 확보할 수 있습니다.

Adjust는 SDK 서명을 적용하기 전에 약 2개의 어트리뷰션 윈도우를 사용할 것을 권장합니다.

예: Adjust의 기본값인 7일 윈도우를 사용하면 14일 이후에 SDK Signature을 적용해야 합니다. 이를 통해 이전에 앱을 다운로드했으나 최근에 실행한 사용자가 Signature을 보유하지 않았음에도 불구하고 설치에 어트리뷰션될 수 있습니다.

Signature 검증을 활성화하려면 다음의 단계를 수행하시기 바랍니다.

  1. AppView에서 앱을 선택하여 앱 상세 화면을 엽니다.
  2. Protection 탭을 선택합니다.
  3. 의심되는 설치 섹션의 편집 버튼()을 선택합니다.
  4. Toggle '의심되는 설치 거부' 를 선택하여 Signature 검증을 강화합니다.

시크릿 ID 관리

시크릿 ID 는 특정 플랫폼에서 특정 버전의 Signature 라이브러리를 사용하여 앱을 고유하게 식별하는 데 사용되는 식별자입니다. 시크릿 ID는 Adjust SDK가 서명된 요청을 전송할 때 Adjust에 의해 생성됩니다.

사용자는 어떤 시크릿 ID가 고려되고 어떤 시크릿 ID가 폐기되는지 결정할 수 있습니다. 기본 설정은 모든 시크릿 ID가 활성화 되어 있습니다. 서명 검증이 활성화된 상태에서 시크릿 ID를 비활성화하면, 앱에서 상응하는 SDK Signature 라이브러리 버전 및 플랫폼과 함께 전송된 모든 요청이 거부됩니다.

Adjust는 다음의 경우 시크릿 ID를 비활성화할 것을 권장합니다.

  • 더 이상 설치 리포트에 기여하지 않는 경우.
  • 모든 앱 플랫폼과 스토어에 앱의 새 버전이 정식 출시되었습니다.

시크릿 ID 비활성화는 즉시 적용됩니다. SDK Signature가 활성화되면 비활성화된 시크릿 ID로 보고된 앱 설치는 거부되며 '신뢰할 수 없는 기기' 로 분류됩니다. Adjust는 계속해서 해당 기기에 대한 세션과 이벤트를 트래킹하지만, 해당 정보는 Adjust Fraud Prevention Suite를 사용하는 경우에만 대시보드나 리포트에서 확인할 수 있습니다.

시크릿 ID 관리:

  1. AppView에서 앱을 선택하여 앱 상세 화면을 엽니다.
  2. Protection 탭을 선택합니다.
  3. 의심되는 설치 섹션의 편집 버튼()을 선택합니다.
  4. 시크릿 섹션에서 다음 중 하나를 수행합니다.
    • 비활성화 를 선택하여 선택한 시크릿 ID를 비활성화합니다.
    • 편집 을 선택하여 선택한 시크릿 ID의 이름을 변경합니다.

비활성화된 시크릿 ID는 '비활성화된 시크릿 ID 표시' 토글을 통해 확인할 수 있습니다.