Si Grindr avait adopté le protocole de vente App-Ads.txt, cela aurait-il permis d'éviter cette fraude sophistiquée ?
Comment le système DiCaprio a fonctionné :
Lorsqu'un utilisateur réel ouvrait Grindr, le(s) partenaire(s) du côté de l'offre proposait(nt) une impression publicitaire (adrequest). Outre l'envoi des éléments nécessaires à la création de l'affichage, le réseau de diffusion de contenu (CDN) répondant renvoyait également une réponse à Grindr, qui appelait de nouvelles balises JavaScript à s'exécuter en arrière-plan du téléphone et à lancer de nouvelles demandes de publicité. Ces nouvelles requêtes publicitaires concernaient des publicités vidéo de 1920x1080, prétendant provenir d'une application Roku sur un appareil Roku. Cependant, les requêtes publicitaires usurpées étaient alimentées en informations par le "script DiCaprio", un algorithme sophistiqué apparemment conçu pour usurper le trafic Roku. Les annonceurs enchérissaient alors sur le faux inventaire Roku, pensant atteindre de vrais utilisateurs Roku (et leur proposer une publicité) ; en réalité, il s'agissait d'un trafic Roku fabriqué qui fonctionnait dans les coulisses de l'application Grindr.
Qu'est-ce que App-Ads.txt ?
App-ads.txt est un fichier de texte brut hébergé sur le domaine du site web du développeur de l'application afin d'identifier les vendeurs numériques autorisés. Cette méthode permet aux annonceurs de s'assurer qu'ils achètent un inventaire d'applications authentique. Les acheteurs qui enchérissent sur un inventaire d'applications peuvent utiliser le fichier app-ads.txt qui a été déclaré par le développeur de l'application sur son site web afin de vérifier que leurs impressions proviennent de vendeurs autorisés.
Si Grindr avait adopté App-Ads.txt, cela aurait-il permis d'éviter cette fraude sophistiquée ?
La réponse courte ? Les pirates (ou criminels) ont trouvé une faille dans l'application Grindr et la vente d'un inventaire basé sur App-Ads.txt n'aurait pas empêché cette fraude. Il s'agit essentiellement de deux scénarios/aspects OpenRTB totalement différents. Pour les personnes qui lisent ce blog, vous pourriez dire que cette question/comparaison n'est pas logique. C'est peut-être vrai, mais le véritable message de ce billet de blog ? Potentiellement, à l'horizon 2020, l'écosystème de la publicité in-app est sur le point de subir des fraudes sophistiquées en piratant des applications populaires qui ont - jusqu'à présent - des procédures de sécurité, de protection ou de développement discutables. La prévention du piratage de votre application (populaire) devrait avoir la même priorité que les procédures de protection et de sécurité étendues que, par exemple, les institutions financières appliquent à leurs applications.