android - Mixpanel token 被曝光会有什么后果？

Question

正如我在 Android Mixpanel SDK setup documentation 中读到的那样，一个 token 用于在应用程序启动时初始化 MixPanel SDK。当我读到 token在 Mixpanel 文档上，它说:

Your token is public, and is the only project-specific object required to send data to Mixpanel. Since Mixpanel users can have multiple projects, and each project has it's own project token, whenever you want to send data to a specific project, you'll need to specify the project token so we know where to send the data.

Android apk 可以使用免费提供的工具轻松反编译。如果有人没有使用过 ProGuard 或其他一些混淆库，如果 token 暴露给攻击者会有什么后果？由于链接提到它是将数据发送到 Mixpanel 所需的唯一东西，攻击者可以发送他们自己的数据并破坏我们在 Mixpanel 上的数据吗？

Answer 1

这是正确的——如果攻击者反编译您的 apk 并提取您的 token ，他们确实可以代表您恶意地将流量发送到 mixpanel。

几乎所有网络分析公司(包括谷歌)都是这种情况。

然而，要知道的主要事情是人们这样做很少有用。污染别人的网络分析虽然有可能，但并不是一件有利可图的事情。您还可以创建服务器端过滤器来帮助防止这种情况发生。

您可以在此处阅读更多相关信息(特别是与 Google Analytics 相关的内容):https://blog.kissmetrics.com/protect-analytics-from-hacking/ (这些原则也适用于 Mixpanel)。

希望对您有所帮助!