黑客揭秘多盟数据造假

   广告主在多盟的投放数据异常

   黑客通过对比其公司一款游戏多家移动广告联盟进行投放时的数据，发现一些情况，令人百思不得其解。以下是数据表：

    多盟从点击到用户安装激活的比例（当日转化率）为8%，远超过其他广告平台2%这一水平。但看10天转化率，其他广告平台会有明显提升，但多盟的转化率没有变化。更奇怪的是，其他广告平台当日激活的设备只占所有转化设备的60%，而多盟占到90%。

    这两个数据说明，多盟的推广方式似乎能够更好的促进用户当日安装，并当日激活。他是怎么做到的？为何其他广告平台的用户行为看起来与多盟都不一样？

   在仔细查看了多盟的投放方式后，找不到多盟与其他广告平台在投放方式、应用选择方面有明显的不同，无法回答以上疑问。于是再对用户的后继行为进行了分析，终于发现一些端倪，数据如下：

   基于以上数据发现，多盟转化中，越狱设备的比例远高出其他广告平台。从而进一步导致多盟带来的单用户贡献值只是其他广告平台的30%。

    在比对中，并未发现多盟针对越狱设备在投放上有什么区别，于是找来Fiddler开始验证。

用Fiddler分析多盟请求数据
    1. 准备工具
    Fiddler Http(s) web调试工具。

下载地址：http://www.fiddler2.com/fiddler2/

    iOS完美越狱设备一台，若未完美越狱，多盟 SDK无权限获取应用列表。（作者注：网上资料显示，越狱设备占iOS设备的50%以上）

    2.  Fiddler的https接获设置

   默认情况下，fiddler既可以对http进行web调试，但是如果需要调试https。需要对fiddler进行如下设置：

   1.   选择菜单中的“Tools”下的“Fiddler Options”子菜单。

   2.在“Fiddler Options”中选择“HTTPS”卡片，将“Capture HTTPS CONNECTs”和“Decrypt HTTPS traffic”的选择框选中。然后，在下拉列表中选中“…from remote clients only”,点击OK。

   3. iOS网络设置
在ios设备上设置Fiddler代理地址。步骤如下：

设置Fiddler代理的IP地址，端口默认是8888

4. 分析多盟广告请求接口
已“都市摩天大楼-家乡版”为例，AppStore地址为http://itunes.apple.com/cn/app/id513224923

接口1：

接口2：

接口3：

接口4：

   设备已安装信息是通过request中body中的result字段发送过去。

   将body中的result进行URL字符转义后如下：

   通过以上分析可以发现，针对破解设备，多盟抓回了设备当前的所有应用列表。这个捕捉动作虽然是低频度的，但实际上是违反苹果AppStore政策的，这使得嵌入多盟 SDK的开发者有被苹果政策惩罚的危险。

    内嵌多盟SDK，可能会导致应用遭遇苹果强制下架

   反编译多盟 SDK，找到被禁止的非法调用

   之所以反编译多盟 SDK，是想到了几个月前某著名互联网公司深陷侵犯用户隐私被强制下架的新闻：http://news.jznews.com.cn/system/2012/02/08/010344059.shtml。而如果多盟 SDK回发用户App列表，若采用同样的模式，则一旦被苹果查到，会给广告开发者带来灾难性的后果。

  
   果不其然，反编译多盟的SDK之后，发现多盟在使用与某公司一样危险的调用方式，之所以没有被苹果下架，只是侥幸而已。

   更进一步的，这类信息属客户隐私范畴，多盟拿到这个数据后会怎样利用非常令人担心。

   至此，完整的解释了多盟投放数据的异常。多盟在采用很危险的方式获得越狱设备的应用列表，这使得多盟可以很容易的知道一批安装了我们游戏的越狱设备，无论是否投放过广告，多盟都可以将这批越狱设备ID混在其提交的设备列表中给到我们，这可以大幅提高其广告的转化率，还不用浪费其广告资源。
 
  客观的讲，多盟这种作弊方法很隐蔽，若不是我一纠到底再加上一些运气，还发现不了这个模式，但再高明的作弊也是作弊，无法给我们提供真正有效的单人贡献值ARPU。更重要的是，这是一个典型的欺诈，令人对多盟这家公司的商业道德有很大疑虑。