假使指控真實)獵豹做的就是在搶歸因,國內不少媒體都在做,只不過這次好像被老外抓現行了。”某不願透露姓名的安全人士表示,“國內廣告行業的作弊比老外揭露出來的要惡劣很多。”
“搶歸因”是廣告作弊行業的黑話:甲方公司要想推廣自己的APP,需要給廣告推廣公司支付一定的費用,每次安裝3-20元不等。
要想支付這3元,需要知道用戶在安裝之前最後一次點擊來自哪裡,來自百度就給百度3元,來自搜狗就給搜狗3元。為了這3元的歸屬,所有的廣告平臺都在各顯神通,爭取把自己的廣告渠道標識傳遞給甲方公司,或甲公司僱傭的效果監測平臺。
這些用來搶奪3元歸屬權的技術手段,就被稱之為“搶歸因”;像獵豹這樣的公司,在行業內被稱之為“媒體”。(廣告業內所說的媒體,跟咱們理解的大眾媒體不一樣)
此次BuzzFeed news報道的最初源頭,是一家名為Kochava廣告反欺詐方案提供商,位於美國愛荷華州。
黑奇士試圖聯繫Kochava,索取詳細技術分析報告,截至發稿時未獲迴音。
獵豹發生了什麼事?
根據Kochava的指控,獵豹旗下的七款APP,包括獵豹清理大師、獵豹安全大師、獵豹鎖屏等世界流行應用,在監控用戶的APP下載,當用戶下載之後,獵豹會把自己的廣告代碼傳遞給廣告商,以此來獲取廣告商的下載分成。
除了獵豹之外,知名輸入法Kika也受到了該指控(2016年,獵豹和天神娛樂(6.350, 0.26, 4.27%)投資了該公司)。
BuzzFeed news的報道中說,除了“搶歸因”,獵豹這七款應用,還會在用戶不知情的情況下,偷偷下載安裝安卓APP,當用戶看到桌面上增加的圖標並點擊,獵豹也可以從廣告商那裡獲得分成。(As an extra piece of insurance, Simmons says Cheetah’s apps are also programmed to launch the newly downloaded app without the user’s knowledge. )
在北京時間27日晚上,獵豹發佈《對APP安裝歸因問題的回應》:高度重視這篇文章中提到的問題,公司正在和所有SDK提供方溝通並調查此事。獵豹承諾,一旦問題查實,會對提供問題SDK公司停止合作。
28日凌晨,獵豹第二次聲明,由於Kochava 提供了有關獵豹移動廣告系統的不實信息,獵豹決定對該公司予以起訴。
受消息影響,在昨日的美股市場上,獵豹移動(CMCM)大跌32.84%
Kochava的指控真實性有待確認
黑奇士採訪了多家國內移動安全公司,多位專家表示:Kochava揭露的這種事情在國內確實存在,但因為它未公佈詳細的技術細節(比如有惡意行為的APP版本號,MD5值,監控了哪些APP的新增下載等,有了這些消息才能重現問題),真實性還有待進一步確認。
頂象技術反欺詐專家分析指出:
BuzzFeed的報告如果屬實,這裡面涉及到三個角色:App(廣告呈現方,這裡指獵豹這樣的媒體)、 ADSDK(廣告分發平臺,在這裡指提供SDK的廣告公司)、廣告客戶;其中,App和ADSDK是收費方,而廣告客戶是付費方。也就是說,兩個收費方都有推廣作弊的動機。
(1)如果是App作弊:表明 ADSDK提供的SDK被破解或業務邏輯被繞過。
路徑是這樣:用戶授權App高級權限,也就是獵豹APP在安裝時要求用戶同意的那些權限,電話本、地理位置等,絕大多數用戶不懂,會直接點同意。這些權限會用來監聽新應用的安裝和信息讀取。
當用戶安裝新的App後,>App(廣告呈現方)監聽到用戶下載行為,於是偽造一個推廣鏈接,發給ADSDK,於是搶歸因成功,一個用戶的自然下載被記錄成了廣告商的付費推廣,廣告主白白花了冤枉錢。
幾年前,有用戶通過某瀏覽器點擊淘寶鏈接,會自動帶上該公司的淘寶客推廣碼;下單支付後,就變成該公司的淘寶推廣。當年該公司收到大量淘寶客的聲討,後來淘寶終止了和該公司的推廣合作。
(2)、如果是 ADSDK作弊(獵豹的聲明中暗示可能是SDK存在問題):表明SDK本身暗藏的作弊程序或遠程操控的後門。
(黑奇士註釋:作為全球領先的移動安全公司,獵豹旗下的CM、CMS都擁有數億用戶,這樣的公司如果說發現不了SDK的安全問題,情理上十分可疑。)
路徑是這樣:ADSDK擁有高級權限(監聽新應用的安裝和信息讀取)——>當用戶安裝新的App後—>ADSDK(廣告分發平臺)讀取應用信息後偽造推廣鏈接請求—>發給廣告商。
黑奇士採訪了國內某移動安全專家,專家表示,如果是安全產品中嵌入廣告SDK,一般會將其列入到安全軟件的白名單中,不再對其行為做實時監控。因為如果監控的話,一方面會消耗大量資源,另一方面也可能會產生誤報。
這點倒是跟獵豹的聲明相吻合,“我們通過SDK集成與許多主流廣告平臺合作。我們通過SDK從這些廣告平臺獲得廣告,並顯示他們的廣告,我們無法控制這些SDK的行為。”(SDK加入白名單之後,其惡意行為會被安全軟件放過,無法監控)
黑奇士認為,即使在嵌入之後無法對SDK的惡意行為做監控,但事前的SDK安全審核、提供商的過往信譽都應該是實際需要考慮的因素。因為事情如果已經發生,再說“斷絕合作”就有點自欺欺人,畢竟廣告主的錢是真金白銀給了你,你如果只是“斷絕合作”,那跟花了錢的廣告主怎麼交代,人家的損失誰來賠?
後續影響:獵豹股價大跌,全球廣告主信心受挫
儘管廣告行業內作弊盛行,但獵豹這種數字廣告行業的領先者是首次遭到此項指控,這將大大影響到廣告客戶對數字精準廣告的信心。以前遭到指控的都是不知名公司,而且事件往往不了了之。
按照業內人士的說法,獵豹遭到指控的這種“搶歸因”在以往往往會被放過去。畢竟有真實用戶下載,錢給了誰並不重要,廣告行業的所有環節都是受益者:甲方有了客戶,廣告商有了代理費,獵豹這樣的媒體拿到了廣告分成。
對於用戶,這些操作都隱藏在幕後,並未對用戶的使用體驗造成影響。
因此,大家都沒有動力去解決這樣的事情。
基於這種邏輯,獵豹的股價昨晚大跌32.84%,已經低於今日頭條的股份價格和現金之和。這意味著市場認為獵豹的業務價值已經趨近於零。
但獵豹早上起訴Kochava的消息挽回了用戶的少許信心,股價在盤後回升了11%
各方如何防範類似事情再次發生?
對於這種欺詐行為,受害最重的是廣告主,比如遊戲公司、工具軟件等。對於這類廣告主,應該加強自己的廣告反欺詐能力,不要片面依賴於廣告分發商、媒體自帶的反欺詐。
頂象技術反欺詐專家指出,如果是SDK被破解或業務邏輯被繞過,可以採用頂象SDK加固產品對SDK源碼進行安全強化,防止協議被破解,同時能夠防禦注入、調試、內存修改等攻擊,保護敏感信息輸入和敏感操作。
對於獵豹這樣的廠商,我覺得應該加強自己的業務安全能力(獵豹曾是我的老東家,在感情上我不願意承認這種問題是公司行為,如果問題真的存在的話),在把廣告SDK列入白名單之前,一定要慎之又慎,畢竟,你賭上的是自己的全部信譽啊!
另外,除了發表官方聲明之外,包括我在內的網友也希望看到更多證據,比如Kochava指控報道的完整版,文件名、下載路徑、版本號、廣告投放素材等,有這些東西,才能把事情的性質完全釘死。
而獵豹在聲明起訴Kochava之外,也要拿出來更多證據,比如APP裡包含的所有廣告SDK,這些SDK擁有哪些權限,這些權限的取得是否必要,等等,做一個完整的安全性審查,以此讓個人用戶和企業用戶恢復信心。官樣文章的聲明和起訴,並不足以打消用戶的顧慮。
最後,希望獵豹作為中國第一個真正走向全球的移動APP開發商,要扛過這一關!
閱讀更多 木水永帆 的文章
