Chữ ký SDK

Chữ ký SDK là giải pháp chống giả mạo do Adjust xây dựng và phát triển. Library thiết lập kết nối chắc chắn giữa Adjust SDK và máy chủ của Adjust bằng thuật toán xáo trộn (mangling algorithm) độc quyền, kết hợp kỹ thuật kiểm tra bảo mật (security check) và làm rối mã (obfuscation), để bảo vệ tính toàn vẹn của chính giải pháp.

SDK Signature library dễ tích hợp và hoạt động mượt mà với Adjust SDK, không yêu cầu bổ sung code.

Cơ chế hoạt động?

Khi Adjust SDK gửi thông tin đến máy của Adjust, thông tin sẽ được mã hóa bằng TLS (Transport Layer Security) – giao thức mã hóa lưu lượng truy cập web. TLS có thể ngăn các tác nhân xấu đọc trộm thông tin của bạn, nhưng lại không thể ngăn chúng gửi lượt cài đặt hoặc sự kiện ảo đến endpoint của ứng dụng.

SDK Signature library bảo vệ kết nối giữa SDK và máy chủ của Adjust, bằng cách kết hợp thuật toán xáo trộn (mangling algorithm) độc quyền với kiểm tra bảo mật (security check) và làm rối mã (obfuscation), bảo đảm máy chủ của Adjust từ chối thông tin do bên khác gửi sang. Máy chủ kiểm tra chữ ký của tất cả yêu cầu đến (request), chỉ chấp nhận yêu cầu có chữ ký hợp lệ. Nếu thông tin không có chữ ký hoặc có chữ ký nhưng không hợp lệ, thì Adjust sẽ từ chối thông tin, bảo đảm khách hàng chỉ nhận được thông tin hợp lệ.

Bắt đầu

SDK Signature library tương thích với Android, iOS và Unity. Để tích hợp library:

1. Truy cập GitHub để tải SDK Signature library tương ứng với nền tảng.
2. Thực hiện theo hướng dẫn tích hợp dành riêng cho từng nền tảng.
   • iOS
   • Android
   • Unity

1. Chạy kiểm thử, xác minh tích hợp hoạt động bình thường.

Quản lý fingerprint của chứng chỉ

Sau khi tích hợp SDK Signature library vào ứng dụng, tất cả yêu cầu gửi từ Adjust SDK đến Adjust đều được ký. Adjust SDK cũng gửi các thông tin liên quan đến máy chủ của Adjust, chẳng hạn như fingerprint của chứng chỉ ký.

Để lấy fingerprint của chứng chỉ, chọn hướng dẫn tương ứng với nền tảng bạn đang sử dụng và thực hiện theo các bước trong hướng dẫn.

• Android
• Unity

Thêm chữ ký vào Adjust Suite

Sau khi lấy fingerprint, thực hiện các bước sau để thêm fingerprint vào danh sách cho phép (allowlist):

1. Truy cập AppView, chọn ứng dụng của bạn, màn hình thông tin ứng dụng sẽ hiện lên.
2. Chọn tab Bảo vệ.
3. Chọn nút Chỉnh sửa () tại mục Lượt cài đặt đáng ngờ.
4. Chọn Fingerprint mới tại mục Android fingerprinting.
5. Dán fingerprint vào trường thông tin.
6. Chọn Add.
7. Nếu bạn muốn thêm tiếp fingerprint, lặp lại các bước trên.

Vậy là xong! Fingerprint đã được thêm vào danh sách cho phép của ứng dụng.

Bạn có thể vô hiệu hóa fingerprint nếu không còn cần dùng fingerprint đó nữa.

1. Truy cập AppView, chọn ứng dụng của bạn, màn hình thông tin ứng dụng sẽ hiện lên.
2. Chọn tab Bảo vệ.
3. Chọn nút Chỉnh sửa () tại mục Lượt cài đặt đáng ngờ.
4. Mở mục Android fingerprinting, chọn fingerprint mà bạn muốn vô hiệu hóa.
5. Chọn Vô hiệu hóa

Lưu lượng truy cập chứa fingerprint vô hiệu sẽ bị từ chối vì đáng ngờ.

Thêm chữ ký bằng Automate API

Nếu bạn đang quản lý ứng dụng bằng Automate API, thì có thể cài đặt chữ ký Android bằng /app endpoint. Thực hiện theo hướng dẫn cài đặt chữ ký Android bằng Automate API để thêm chữ ký vào ứng dụng. Chữ ký được thêm bằng con đường này sẽ tự động được thêm vào danh sách cho phép.

Bật xác minh chữ ký

Sau khi tích hợp SDK Signature library vào ứng dụng, bạn cần bật xác minh chữ ký trên Adjust. Nếu không bật xác minh, tất cả yêu cầu SDK sẽ được chấp nhận mà không qua xác minh.

Adjust không tự động bật xác minh chữ ký. Như vậy, bạn có thể chờ người dùng tải ứng dụng phiên bản mới nhất có tích hợp chữ ký, để bảo đảm lượt cài đặt được ký, rồi mới chủ động bật xác minh chữ ký.

Chúng tôi đề xuất bạn chờ qua 2 khung thời gian phân bổ (attribution window) rồi hãy bật xác minh chữ ký SDK.

Ví dụ: Khung thời gian phân bổ mặc định trên Adjust là 7 ngày, nghĩa là bạn nên chờ ít nhất 14 ngày trước khi bật Chữ ký SDK. Điều này để tính luôn trường hợp, người dùng đã tải ứng dụng về máy từ lâu, nhưng chỉ mới mở gần đây. Như vậy, lượt cài đặt của họ vẫn được phân bổ trên Adjust — cho dù không mang theo chữ ký.

Để bật xác minh chữ ký, thực hiện các bước sau.

1. Truy cập AppView, chọn ứng dụng của bạn, màn hình thông tin ứng dụng sẽ hiện lên.
2. Chọn tab Bảo vệ.
3. Chọn nút Chỉnh sửa () tại mục Lượt cài đặt đáng ngờ.
4. Chọn Từ chối lượt cài đặt đáng ngờ để bật xác minh chữ ký.

Quản lý secret ID

Secret ID là mã định danh được dùng để nhận diện ứng dụng, cho biết ứng dụng đang sử dụng phiên bản nào của Signature library trên nền tảng nào. Adjust tạo Secret ID sau khi nhận được yêu cầu đã ký do Adjust SDK gửi đến.

Bạn có thể quyết định secret ID nào được xem xét và secret ID nào bị loại bỏ. Tất cả secret ID được đặt mặc định là hoạt động. Nếu bạn đặt secret ID về không hoạt động sau khi bật xác minh chữ ký, thì tất cả yêu cầu gửi đến ứng dụng có phiên bản SDK Signature library và nền tảng tương ứng sẽ bị từ chối.

Bạn nên vô hiệu hóa secret ID trong trường hợp:

• App Secret đó không còn được dùng để ghi nhận lượt cài đặt.
• Bạn đã hoàn tất quá trình phát hành phiên bản mới (trên tất cả nền tảng ứng dụng và store).

Sau khi bạn vô hiệu hóa secret ID, secret ID sẽ bị vô hiệu ngay lập tức. Sau khi bạn bật xác minh chữ ký SDK, lượt cài đặt chứa secret ID vô hiệu sẽ bị từ chối và đưa vào danh sách Thiết bị không đáng tin (Untrusted Devices). Adjust vẫn tiếp tục theo dõi phiên truy cập và sự kiện đến từ các thiết bị này, nhưng bạn chỉ xem dữ liệu này trên dashboard nếu sử dụng Adjust Fraud Prevention Suite.

Để quản lý secret ID:

1. Truy cập AppView, chọn ứng dụng của bạn, màn hình thông tin ứng dụng sẽ hiện lên.
2. Chọn tab Bảo vệ.
3. Chọn nút Chỉnh sửa () tại mục Lượt cài đặt đáng ngờ.
4. Đến mục Secret, thực hiện một trong các thao tác sau:
   • Chọn Vô hiệu hóa để vô hiệu hóa secret ID.
   • Chọn Chỉnh sửa để đổi tên của secret ID.

Để xem danh sách secret ID vô hiệu, chọn Hiển thị secret ID đã vô hiệu hóa.