DiCaprio annonsebedrageri - App-Ads.txt refleksjon
Hvis Grindr hadde tatt i bruk salgsprotokollen App-Ads.txt, ville det ha forhindret dette sofistikerte svindelforsøket?
Slik fungerte DiCaprios opplegg:
Når en ekte bruker åpnet Grindr, tilbød partnerne på tilbudssiden en annonsevisning (adrequest). I tillegg til å sende de nødvendige elementene for å fylle annonsematerialet, sendte CDN (Content Delivery Network) også et svar tilbake til Grindr, som kalte opp nye JavaScript-tagger som ble kjørt i bakgrunnen på telefonen og initierte nye annonseforespørsler. Disse nye annonseforespørslene var for videoannonser i 1920x1080, og påsto at de kom fra en Roku-app på en Roku-enhet. De falske annonseforespørslene ble imidlertid matet med informasjon via "DiCaprio-scriptet" - en sofistikert algoritme som tilsynelatende var laget for å forfalske Roku-trafikk. Annonsører kunne så by på den falske Roku-trafikken og tro at de nådde ekte Roku-brukere (og serverte dem en annonse), men i virkeligheten var det fabrikkert Roku-trafikk som fungerte bak kulissene i Grindr-appen.
Hva er App-Ads.txt?
App-ads.txt er en ren tekstfil som ligger på domenet til apputviklerens nettsted for å identifisere autoriserte digitale selgere. Denne metoden gjør det mulig for annonsører å stole på at de kjøper autentisk appbeholdning. Kjøpere som byr på appbeholdning, kan bruke app-ads.txt-filen som apputvikleren har oppgitt på nettstedet sitt, for å verifisere at visningene kommer fra autoriserte selgere.
Hvis Grindr hadde tatt i bruk App-Ads.txt, ville det ha forhindret dette sofistikerte svindelforsøket?
Det korte svaret? Hackerne (eller de kriminelle) fant et smutthull i Grindr-applikasjonen, og salg av varelager basert på App-Ads.txt ville ikke ha forhindret dette svindelforsøket. I hovedsak snakker vi om to helt forskjellige OpenRTB-scenarier/aspekter. For de som faktisk leser denne bloggen, kan du si at dette spørsmålet/denne sammenligningen ikke er logisk. Det er kanskje sant, men det egentlige budskapet i dette blogginnlegget? Potensielt, anno 2020, står økosystemet for annonsering i apper på terskelen til å bli utsatt for sofistikerte svindelforsøk ved å hacke seg inn i populære apper som - frem til nå - har hatt tvilsomme sikkerhetsprosedyrer, beskyttelse eller utvikling. Å forhindre at din (populære) app blir hacket, bør ha samme prioritet som utvidede beskyttelses- og sikkerhetsprosedyrer som for eksempel finansinstitusjoner har for sine apper.