Chữ ký SDK
Chữ ký SDK là giải pháp chống giả mạo do Adjust xây dựng và phát triển. Library thiết lập kết nối chắc chắn giữa Adjust SDK và máy chủ của Adjust bằng thuật toán xáo trộn (mangling algorithm) độc quyền, kết hợp kỹ thuật kiểm tra bảo mật (security check) và làm rối mã (obfuscation), để bảo vệ tính toàn vẹn của chính giải pháp.
SDK Signature library dễ tích hợp và hoạt động mượt mà với Adjust SDK, không yêu cầu bổ sung code.
Cơ chế hoạt động?
SDK signature library không phải công cụ chống gian lận. Signature library không có khả năng chống các loại gian lận do người dùng thực hiện, chẳng hạn như lợi dụng bug của ứng dụng, sửa đổi tài nguyên bên ngoài ứng dụng gốc, hoặc lỗi logic ứng dụng.
Khi Adjust SDK gửi thông tin đến máy của Adjust, thông tin sẽ được mã hóa bằng TLS (Transport Layer Security) – giao thức mã hóa lưu lượng truy cập web. TLS có thể ngăn các tác nhân xấu đọc trộm thông tin của bạn, nhưng lại không thể ngăn chúng gửi lượt cài đặt hoặc sự kiện ảo đến endpoint của ứng dụng.
SDK Signature library bảo vệ kết nối giữa SDK và máy chủ của Adjust, bằng cách kết hợp thuật toán xáo trộn (mangling algorithm) độc quyền với kiểm tra bảo mật (security check) và làm rối mã (obfuscation), bảo đảm máy chủ của Adjust từ chối thông tin do bên khác gửi sang. Máy chủ kiểm tra chữ ký của tất cả yêu cầu đến (request), chỉ chấp nhận yêu cầu có chữ ký hợp lệ. Nếu thông tin không có chữ ký hoặc có chữ ký nhưng không hợp lệ , thì Adjust sẽ từ chối thông tin, bảo đảm khách hàng chỉ nhận được thông tin hợp lệ.
Bắt đầu
SDK Signature library mặc định được gói chung với SDK v5. Bạn chỉ phải cài đặt library nếu đang sử dụng SDK v4.
SDK Signature library tương thích với Android, iOS và Unity. Để tích hợp library:
- (Chỉ áp dụng với SDK v4): Truy cập GitHub và tải SDK Signature library tương tương với nền tảng đang dùng.
- Thực hiện theo hướng dẫn tích hợp dành riêng cho từng nền tảng.
Nếu bạn sử dụng Flutter, Cordova hoặc React Native, thực hiện theo hướng dẫn dành cho iOS và Android để thêm SDK Signature library cho nền tảng. Adjust không hỗ trợ các khung đa nền tảng khác.
- Chạy kiểm thử, xác minh tích hợp hoạt động bình thường.
Quản lý fingerprint của chứng chỉ
Bạn chỉ cần cung cấp fingerprint nếu ứng dụng của bạn hoạt động trên nền tảng Android .
Sau khi tích hợp SDK Signature library vào ứng dụng, tất cả yêu cầu gửi từ Adjust SDK đến Adjust đều được ký. Adjust SDK cũng gửi các thông tin liên quan đến máy chủ của Adjust, chẳng hạn như fingerprint của chứng chỉ ký.
Để lấy fingerprint của chứng chỉ, chọn hướng dẫn tương ứng với nền tảng bạn đang sử dụng và thực hiện theo các bước trong hướng dẫn.
Bạn phải thêm fingerprint của chứng chỉ ký vào danh sách cho phép (allowlist). Không thêm fingerprint có thể khiến lưu lượng truy cập của bạn bị gian lận tấn công.
Thêm chữ ký vào Adjust Suite
Sau khi lấy fingerprint, thực hiện các bước sau để thêm fingerprint vào danh sách cho phép (allowlist):
- Truy cập AppView, chọn ứng dụng của bạn, màn hình thông tin ứng dụng sẽ hiện lên.
- Chọn tab Bảo vệ.
- Chọn nút Chỉnh sửa () tại mục Lượt cài đặt đáng ngờ.
- Chọn Fingerprint mới tại mục Android fingerprinting.
- Dán fingerprint vào trường thông tin.
- Chọn Add .
- Nếu bạn muốn thêm tiếp fingerprint, lặp lại các bước trên.
Vậy là xong! Fingerprint đã được thêm vào danh sách cho phép của ứng dụng.
Nếu bạn cập nhật chứng chỉ ký, bạn cũng cần cập nhật fingerprint của chứng chỉ đang lưu trên Adjust.
Bạn có thể vô hiệu hóa fingerprint nếu không còn cần dùng fingerprint đó nữa.
- Truy cập AppView, chọn ứng dụng của bạn, màn hình thông tin ứng dụng sẽ hiện lên.
- Chọn tab Bảo vệ.
- Chọn nút Chỉnh sửa () tại mục Lượt cài đặt đáng ngờ.
- Mở mục Android fingerprinting , chọn fingerprint mà bạn muốn vô hiệu hóa.
- Chọn Vô hiệu hóa
Lưu lượng truy cập chứa fingerprint vô hiệu sẽ bị từ chối vì đáng ngờ.
Thêm chữ ký bằng Automate API
Nếu bạn đang quản lý ứng dụng bằng Automate API, thì có thể cài đặt chữ ký Android bằng /app
endpoint. Thực hiện theo hướng dẫn cài đặt chữ ký Android bằng Automate API để thêm chữ ký vào ứng dụng. Chữ ký được thêm bằng con đường này sẽ tự động được thêm vào danh sách cho phép.
Bật xác minh chữ ký
Sau khi tích hợp SDK Signature library vào ứng dụng, bạn cần bật xác minh chữ ký trên Adjust. Nếu không bật xác minh, tất cả yêu cầu SDK sẽ được chấp nhận mà không qua xác minh.
Adjust không tự động bật xác minh chữ ký. Như vậy, bạn có thể chờ người dùng tải ứng dụng phiên bản mới nhất có tích hợp chữ ký, để bảo đảm lượt cài đặt được ký, rồi mới chủ động bật xác minh chữ ký.
Chúng tôi đề xuất bạn chờ qua 2 khung thời gian phân bổ (attribution window) rồi hãy bật xác minh chữ ký SDK.
Ví dụ: Khung thời gian phân bổ mặc định trên Adjust là 7 ngày, nghĩa là bạn nên chờ ít nhất 14 ngày trước khi bật Chữ ký SDK. Điều này để tính luôn trường hợp, người dùng đã tải ứng dụng về máy từ lâu, nhưng chỉ mới mở gần đây. Như vậy, lượt cài đặt của họ vẫn được phân bổ trên Adjust — cho dù không mang theo chữ ký.
Để bật xác minh chữ ký, thực hiện các bước sau.
- Truy cập AppView, chọn ứng dụng của bạn, màn hình thông tin ứng dụng sẽ hiện lên.
- Chọn tab Bảo vệ.
- Chọn nút Chỉnh sửa () tại mục Lượt cài đặt đáng ngờ.
- Chọn Từ chối lượt cài đặt đáng ngờ để bật xác minh chữ ký.
Quản lý secret ID
Secret ID là mã định danh được dùng để nhận diện ứng dụng, cho biết ứng dụng đang sử dụng phiên bản nào của Signature library trên nền tảng nào. Adjust tạo Secret ID sau khi nhận được yêu cầu đã ký do Adjust SDK gửi đến.
Bạn có thể quyết định secret ID nào được xem xét và secret ID nào bị loại bỏ. Tất cả secret ID được đặt mặc định là hoạt động. Nếu bạn đặt secret ID về không hoạt động sau khi bật xác minh chữ ký, thì tất cả yêu cầu gửi đến ứng dụng có phiên bản SDK Signature library và nền tảng tương ứng sẽ bị từ chối.
Bạn nên vô hiệu hóa secret ID trong trường hợp:
- App Secret đó không còn được dùng để ghi nhận lượt cài đặt.
- Bạn đã hoàn tất quá trình phát hành phiên bản mới (trên tất cả nền tảng ứng dụng và store).
Sau khi bạn vô hiệu hóa secret ID, secret ID sẽ bị vô hiệu ngay lập tức. Sau khi bạn bật xác minh chữ ký SDK, lượt cài đặt chứa secret ID vô hiệu sẽ bị từ chối và đưa vào danh sách Thiết bị không đáng tin (Untrusted Devices). Adjust vẫn tiếp tục theo dõi phiên truy cập và sự kiện đến từ các thiết bị này, nhưng bạn chỉ xem dữ liệu này trên dashboard nếu sử dụng Adjust Fraud Prevention Suite.
Để quản lý secret ID:
- Truy cập AppView, chọn ứng dụng của bạn, màn hình thông tin ứng dụng sẽ hiện lên.
- Chọn tab Bảo vệ.
- Chọn nút Chỉnh sửa () tại mục Lượt cài đặt đáng ngờ.
- Đến mục Secret , thực hiện một trong các thao tác sau:
- Chọn Vô hiệu hóa để vô hiệu hóa secret ID.
- Chọn Chỉnh sửa để đổi tên của secret ID.
Để xem danh sách secret ID vô hiệu, chọn Hiển thị secret ID đã vô hiệu hóa .
Cập nhật library
SDK Signature library mặc định được gói chung với SDK v5 khi bạn tích hợp SDK thông qua dependency manager. Nghĩa là, nếu bạn làm mới dependency, library sẽ được cập nhật phiên bản mới nhất.
Bạn không cần thực hiện bất kỳ thay đổi nào cho ứng dụng, chỉ cần chuyển đổi library. Để cập nhật SDK Signature library, thực hiện các bước sau:
Chọn hướng dẫn theo nền tảng.
Kiểm thử cấu hình, đảm bảo phiên bản mới hoạt động bình thường. Để kiểm thử, chọn hướng dẫn theo nền tảng.
Những khung đa nền tảng khác sẽ không được hỗ trợ trừ phi đã được tích hợp trong SDK v5. Để cập nhật SDK Signature library cho khung đa nền tảng, thực hiện theo hướng dẫn dành cho iOS hoặc Android. Quá trình kiểm thử không bị ràng buộc với bất kỳ nền tảng cụ thể nào.