当我在Android Mixpanel SDK setup documentation中读到时,会在应用启动时使用令牌初始化MixPanel SDK。当我在Mixpanel文档中阅读token时,它会说:
您的令牌是公开的,是向Mixpanel发送数据所需的唯一项目特定对象。由于Mixpanel用户可以拥有多个项目,并且每个项目都有自己的项目令牌,因此每当您想要将数据发送到特定项目时,您都需要指定项目令牌,以便我们知道将数据发送到何处。
Android apk可以使用免费的工具轻松反编译。如果有人没有使用ProGuard或其他混淆库,那么如果令牌暴露给攻击者会有什么后果?由于该链接提到它是向Mixpanel发送数据所需的唯一内容,攻击者是否可以在Mixpanel上发送自己的数据并破坏我们的数据?
答案 0 :(得分:6)
这是正确的 - 如果攻击者反编译你的apk并提取你的令牌,他们确实可以代表你恶意地将流量发送到mixpanel。
几乎每个网络分析公司都有这种情况(包括谷歌)。
然而,要知道的主要事情是人们很少这样做。在可能的情况下,污染他人的网络分析并不是一件有利可图的事情。您还可以创建服务器端过滤器,以帮助防止此事发生。
您可以在此处详细了解它(特别是与Google Analytics相关):https://blog.kissmetrics.com/protect-analytics-from-hacking/(这些原则也适用于Mixpanel)。
希望有所帮助!