- vừa được xem lúc

Tôi đã lạm dụng chính sách Referral của app X như nào? - Phần I

0 0 29

Người đăng: Nguyễn Hoàng Minh

Theo Viblo Asia

Trước hết, bài này là bài về kĩ thuật =))) Nhưng tản mạn hơi dài anh em cố đọc không thì kéo xuống dưới nhé

Lời nói đầu

Referal là loại hình marketing dạng như bạn mời người B cài app X qua một mã giới thiệu, giống kiểu Momo và 2 người (hoặc người đi mời) sẽ hưởng 1 quyền lợi cụ thể nào đó

Có thể nói Referral hay Referral Marketing là chiến lược Marketing mang tính truyền miệng. Đây có thể nói là chiến lược thay vì bỏ hàng đống tiền để chạy Ads (không nhìn thấy kết quả) thì ta có thể thấy rõ được bao nhiêu người sử dụng sản phẩm hay chiến lược có thành công không dựa vào số người được mời, số người cài đặt ứng dụng qua những lời mời của người khác. Tuy vậy, referral luôn luôn có kẽ hở, nhất là ở Việt Nam anh em chơi MMO đông như quân Nguyên thì referral marketing ở Việt Nam phải hết sức cẩn thận không thì "tiền mất tật mang"

Nói qua về chú blog này, mình được 1 người bạn cùng trường, anh này chơi MMO đỉnh lắm giới thiệu cho 1 con app của bên X. App này thì mới làm về thương mại điện tử kiểu như bán 1 mặt hàng nào đó, để tiết kiệm Marketing thì khi bạn cài app họ cho bạn 1 mã giới thiệu và khi giới thiệu đến 1 số người nhất định bạn sẽ được một món quà nào đó và 1 khoản tiền hoa hồng ? Nghe thật hấp dẫn. Đối với nhiều công ty thì họ lấy hình thức referral này dưới 1 cái tên mĩ miều là các cộng tác viên. Có khá nhiều "công tác viên" chân chính, nhưng ngoài ra có cái nhiều người đi cheat đi vọc ?

Làm như nào để chống lại nạn cheat referral

Mình thấy các công ty nhỏ làm referral thường event sống không được lâu do cheater lạm dụng rất nhanh. Dưới đây là lịch sử công ty X mà mình tìm ra chống lại cheater

  • First release: Mời n người bạn đổi được 1 quà, 1 quà đổi được 1 sản phẩm, không giới hạn số quà mỗi user, không giới hạn số lần đổi quà
  • Tiếp theo, vẫn mời n người đổi 1 quà, mỗi quà đổi 1 sản phẩm, không giới hạn số quà mỗi user, mỗi ngày đổi tối đa m quà
  • Vẫn mời n người đổi 1 quà, mỗi quà đổi 1 sản phẩm, không giới hạn số quà mỗi user, mỗi ngày đổi tối đa 1 quà
  • Vẫn mời n người đổi 1 quà, mỗi quà đổi 1 sản phẩm, không giới hạn số quà mỗi user, mỗi ngày đổi tối đa 1 quà, người được mời phải phát sinh giao dịch
  • Vẫn mời n người đổi 1 quà, mỗi quà đổi 1 sản phẩm, không giới hạn số quà mỗi user, mỗi ngày đổi tối đa 1 quà, quà bây giờ chỉ là voucher ưu đãi không được miễn phí nữa

Ngoài ra, mỗi lần đổi quà, cộng tác viên nhận được 1 khoản gọi là hoa hồng :3 nếu không nhận quà thì có thể nhận hoa hồng cũng là 1 lựa chọn hay

Như vậy, có thể thấy, các công ty dường như phải chạy theo những cheater này để tìm cách chấp vá theo mình thấy không nên =))) Tại sao chúng ta phải thay đổi policy thay vào đó chúng ta có thể tìm hiểu tại sao cheater có thể lạm dụng chúng. Qua đây có thể nói, bộ phận pentest rất rất quan trọng ngay cả đơn vị lớn hay nhỏ

Đây là cách mình đã lạm dụng nó và 1 số kịch bản

Mọi thứ chỉ đơn giản là mình tạo thật nhiều acc rồi ref với nhau thôi =)))) Rồi, nhiều bạn nghĩ app gì mà gà mờ thế. Tại sao không unique device qua 1 cái gì đó. Câu chuyện ở đây là đương nhiên họ phải unique device và unique device phải là thứ đầu tiên họ nghĩ đến vì đây là thứ ảnh hưởng trực tiếp đến ngân sách chứ ? Thế nhưng, mọi thứ pass quá dễ dàng Đây là một phút cho PR, mình còn nhẹ nhàng tìm được một con app hỗ trợ clone app, có option fake AndroidID, IMEI thậm chí cả MAC Address xịn xò chưa ?, thế thì bảo sao các app mấy anh Việt Nam đập dài dài.

À quên nói sơ ra một chút thì ngày xưa người ta sẽ dựa vào IMEI hay MAC để nhận diện thiết bị với nhau nhưng từ Android 8, Gooogle nhằm tăng cường bảo mật với người dùng nên đã recommend sử dụng AndroidID để thay thế, và mỗi app sẽ tự sinh AndroidID riêng biệt (khác với trước là AndroidID theo máy), cùng với đó là MAC không thể lấy được từ Android 6 và nếu bạn muốn sử dụng IMEI phải xin quyền gọi điện ? Ai muốn cho 1 cái app shop online quyền gọi điện đúng không nào?

MAC addresses are globally unique, not user-resettable, and survive factory resets. For these reasons, to protect user privacy, on Android versions 6 and higher, access to MAC addresses is restricted to system apps. Third-party apps can't access them.

Tham khảo thêm tại đây

Ngoài ra, một cái App để an toàn phải qua vô vàn bước ví dụ như sử dụng SSL Pinning để tránh bị bắt package (tham khảo tại đây) nên việc bảo là lấy API ra call bằng code cũng hơi mệt (nhưng vẫn làm được ?)

Thôi, bài này giải thích cho anh em phần chính là Referral là gì và các kịch bản để lạm dụng thôi ? phần sau mình sẽ đi vào thực tế nhé. Bài viết hơi ngắn nhưng hi vọng có cái nhìn giúp anh em thấy được một số lỗ hổng trong việc đưa ra các chiến dịch, chính sách phù hợp

Bình luận

Bài viết tương tự

- vừa được xem lúc

Android Security - Thực Hiện Đơn Giản Việc Bảo Mật Ứng Dụng

. Chúng ta vẫn được biết tới một ứng dụng chất lượng tốt cái đầu tiên là về cảm quan từ phía người dùng đấy là UI giao diện, nhưng để sử dụng lâu dài người ta quan tâm nhất vấn đề bảo mật thông tin có tốt hay không. Chính những thiệt hại về thông tin cá nhân khách hàng bị lộ ra ngoài lại là thiệt hạ

0 0 24

- vừa được xem lúc

Một số công cụ kiểm thử xâm nhập ứng dụng di động hiệu quả

Trong thời đại công nghệ ngày càng phát triển, ứng dụng di động đã trở thành một phần không thể thiếu trong cuộc sống hàng ngày của chúng ta. Hệ sinh thái ứng dụng dành cho thiết bị di động đang phát

0 0 11

- vừa được xem lúc

Tìm hiểu về lỗ hổng bảo mật của Deep Link

1. Deep Link là gì.

0 0 5

- vừa được xem lúc

Widgets trên iOS

Apple gần đây đã bắt đầu với hỗ trợ các widget cho iOS. Chúng cung cấp thông tin tối thiểu nhưng hữu ích cho người dùng mà không cần truy cập vào ứng dụng. Requirements. Đầu tiên, để bắt đầu với các widget, chúng ta cần có:.

0 0 19

- vừa được xem lúc

Tổng hợp các câu hỏi phỏng vấn Android phần 1

Cứ code mãi cùng buồn, nên mình muốn ôn lại một chút kiến thức về Android, vừa là để ôn tập vừa là để ghi lại khi nào cần thì mở ra xem. Các câu hỏi thì mình cũng sẽ tổng hợp từ những bài viết khác nh

0 0 37

- vừa được xem lúc

Tập tành Custom View trong Android (Phần 1)

Anh em code Android chắc cũng biết Android platform cung cấp khá đa dạng nhiều loại View Classes để "fit" với từng loại dự án khác nhau. Tuy nhiên, sẽ có một số dự án đặc trưng đòi hỏi sự cải tiến hoặ

0 0 21