Im mobilen Ökosystem kann Missbrauch Ihre Einnahmen, Ihr Wachstum und das Vertrauen der Nutzer gefährden. Um Entwicklern zu helfen, bietet Google Play einen robusten Dienst zur Bedrohungserkennung an: die Play Integrity API. Mit der Play Integrity API können Sie prüfen, ob Interaktionen und Serveranfragen echt sind – also von einer unveränderten Instanz Ihrer App auf einem zertifizierten Android-Gerät stammen, die über Google Play installiert wurde.

Die Auswirkungen sind erheblich: Bei Apps, die Play Integrity-Funktionen nutzen, wurde im Vergleich zu anderen Apps durchschnittlich 80% weniger unautorisierte Nutzung beobachtet. Heute nutzen führende Unternehmen aus verschiedenen Kategorien – darunter Uber, TikTok, Stripe, Kabam, Wooga, Radar.com, Zimperium, Paytm und Remini – die API, um ihre Unternehmen zu schützen.

Wir arbeiten kontinuierlich daran, die Play Integrity API zu verbessern. Sie lässt sich jetzt einfacher einbinden, ist widerstandsfähiger gegen ausgeklügelte Angriffe und bietet Nutzern, die die Integritätsstandards nicht erfüllen oder auf Fehler stoßen, mit neuen In-App-Aufforderungen zur Fehlerbehebung in Google Play eine bessere Unterstützung.

Bedrohungen für Ihr Unternehmen erkennen

Die Play Integrity API bietet Ergebnisse, mit denen sich bestimmte Bedrohungen erkennen lassen, die sich bei kritischen Interaktionen auf Ihr Geschäftsergebnis auswirken.

• Unbefugter Zugriff: Mit dem accountDetails Ergebnis können Sie ermitteln, ob der Nutzer Ihre App oder Ihr Spiel bei Google Play installiert oder dafür bezahlt hat.
• Manipulation von Code: Mit dem Ergebnis appIntegrity können Sie ermitteln, ob Sie mit Ihrem unveränderten Binärprogramm in der Form interagieren, die Google Play bekannt ist.
• Risikoreiche Geräte und emulierte Umgebungen: Mit dem deviceIntegrity Ergebnis können Sie ermitteln, ob Ihre App auf einem echten, von Play Protect zertifizierten Android-Gerät oder einer echten Instanz von Google Play Games für PC ausgeführt wird.
• Geräte ohne Sicherheitspatch: Bei Geräten mit Android 13 und höher können Sie mit der Antwort MEETS_STRONG_INTEGRITY im Ergebnis deviceIntegrity ermitteln, ob auf einem Gerät aktuelle Sicherheitsupdates angewendet wurden. Sie können auch deviceAttributes aktivieren, um die bestätigte Android SDK-Version in die Antwort einzubeziehen.
• Risikoreicher Zugriff durch andere Apps:Mit dem Ergebnis appAccessRiskVerdict können Sie ermitteln, ob Apps ausgeführt werden, die möglicherweise den Bildschirm aufnehmen, Overlays einblenden oder das Gerät steuern können (z. B. durch Missbrauch der Berechtigung für Bedienungshilfen). Bei diesem Ergebnis werden Apps, die echten Bedienungshilfen dienen, automatisch ausgeschlossen.
• Bekannte Malware:Mit dem Ergebnis playProtectVerdict können Sie ermitteln, ob Google Play Protect aktiviert ist und ob auf dem Gerät installierte Apps gefunden wurden, die als riskant oder gefährlich eingestuft werden.
• Hyperaktivität:Mit der Ebene „recentDeviceActivity“ können Sie ermitteln, ob ein Gerät in letzter Zeit eine ungewöhnlich hohe Anzahl von Integritätstoken-Anfragen gestellt hat. Dies könnte auf automatisierten Traffic und einen Angriff hindeuten.
• Wiederholter Missbrauch und wiederverwendete Geräte:Mit deviceRecall (Beta) können Sie ermitteln, ob Sie mit einem Gerät interagieren, das Sie zuvor gekennzeichnet haben, auch wenn Ihre App neu installiert oder das Gerät zurückgesetzt wurde. Mit „deviceRecall“ können Sie die wiederholten Aktionen anpassen, die Sie verfolgen möchten.

Die API kann für alle Android-Formfaktoren verwendet werden, einschließlich Smartphones, Tablets, faltbare Geräte, Android Auto, Android TV, Android XR, ChromeOS, Wear OS und Google Play Games für PC.

Die Play Integrity API optimal nutzen

Apps und Spiele haben mit der Play Integrity API Erfolg erzielt, indem sie die Sicherheitsempfehlungen befolgt und einen schrittweisen Ansatz für ihre Strategie zur Missbrauchsbekämpfung gewählt haben.

Schritt 1: Entscheiden Sie, was Sie schützen möchten: Legen Sie fest, welche Aktionen und Serveranfragen in Ihren Apps und Spielen überprüft und geschützt werden müssen. Sie können beispielsweise Integritätsprüfungen durchführen, wenn ein Nutzer die App startet, sich anmeldet, einem Mehrspielerspiel beitritt, KI-Inhalte generiert oder Geld überweist.

Schritt 2: Ergebnisse der Integritätsprüfung erfassen: Führen Sie an wichtigen Stellen Integritätsprüfungen durch, um Ergebnisdaten zu erfassen, ohne die Durchsetzung zunächst zu erzwingen. So können Sie die Antworten für Ihre Installationsbasis analysieren und sehen, wie sie mit Ihren bestehenden Missbrauchssignalen und historischen Missbrauchsdaten korrelieren.

Schritt 3: Durchsetzungsstrategie festlegen: Legen Sie Ihre Durchsetzungsstrategie basierend auf Ihrer Analyse der Antworten und dem fest, was Sie schützen möchten. Sie können beispielsweise risikoreichen Traffic an wichtigen Stellen ändern, um sensible Funktionen zu schützen. Die API bietet eine Reihe von Antworten, sodass Sie eine mehrstufige Durchsetzungsstrategie implementieren können, die auf der Vertrauensstufe basiert, die Sie jeder Kombination von Antworten zuweisen.

Schritt 4: Durchsetzung schrittweise einführen und Nutzer unterstützen:Führen Sie die Durchsetzung schrittweise ein. Entwickeln Sie eine Strategie für Wiederholungsversuche, wenn es Probleme mit Ergebnissen gibt oder diese nicht verfügbar sind, und unterstützen Sie Nutzer, die Probleme haben. Mit den neuen In-App-Aufforderungen zur Fehlerbehebung in Google Play, die unten beschrieben werden, können Sie Nutzern mit Problemen einfacher als je zuvor helfen, wieder einen guten Zustand zu erreichen.

NEU: Google Play kann Nutzer mit Problemen automatisch wiederherstellen

Die Entscheidung, wie auf verschiedene Integritätssignale reagiert werden soll, kann komplex sein. Sie müssen verschiedene Integritätsantworten und API-Fehlercodes verarbeiten (z. B. Netzwerkprobleme oder veraltete Play-Dienste). Wir vereinfachen dies mit neuen In-App-Aufforderungen zur Fehlerbehebung in Google Play. Sie können Ihren Nutzern eine Google Play-Aufforderung anzeigen, um eine Vielzahl von Problemen direkt in Ihrer App automatisch zu beheben. Dadurch wird die Integration vereinfacht, eine einheitliche Benutzeroberfläche gewährleistet und mehr Nutzern geholfen, wieder einen guten Zustand zu erreichen.

GET_INTEGRITY erkennt das Problem automatisch (in diesem Beispiel ein Netzwerkfehler) und behebt es.

Sie können das GET_INTEGRITY-Dialogfeld, das in der Play Integrity API-Bibliothek Version 1.5.0 und höher verfügbar ist, nach einer Reihe von Problemen auslösen, um den Nutzer automatisch durch die erforderlichen Korrekturen zu führen, darunter:

• Unbefugter Zugriff: GET_INTEGRITY führt den Nutzer zurück zu einer lizenzierten Play-Antwort in „accountDetails“.
• Manipulation von Code:GET_INTEGRITY führt den Nutzer zurück zu einer von Google Play erkannten Antwort in „appIntegrity“.
• Probleme mit der Geräteintegrität:GET_INTEGRITY führt den Nutzer zurück zum Status „MEETS_DEVICE_INTEGRITY“ in deviceIntegrity.
• Behebbare Fehlercodes:GET_INTEGRITY behebt behebbare API-Fehler, z. B. indem der Nutzer aufgefordert wird, die Netzwerkverbindung zu korrigieren oder die Google Play-Dienste zu aktualisieren.

Wir bieten auch spezielle Dialogfelder an, darunter GET_STRONG_INTEGRITY (funktioniert wie GET_INTEGRITY, führt den Nutzer aber auch zurück zum Status „MEETS_STRONG_INTEGRITY“ ohne bekannte Malware-Probleme in der playProtectVerdict), GET_LICENSED (führt den Nutzer zurück zu einem von Google Play lizenzierten und erkannten Status) sowie CLOSE_UNKNOWN_ACCESS_RISK und CLOSE_ALL_ACCESS_RISK (fordern den Nutzer auf, potenziell risikoreiche Apps zu schließen).

Moderne Integritätslösungen auswählen

Neben der Play Integrity API bietet Google mehrere andere Funktionen, die Sie im Rahmen Ihrer allgemeinen Strategie zur Missbrauchsbekämpfung in Betracht ziehen können. Sowohl die Play Integrity API als auch der automatische Schutz von Google Play bieten Vorteile für Nutzer und Entwickler, um die App-Verbreitung zu schützen. Wir empfehlen, vorhandene Apps auf diese modernen Integritätslösungen zu migrieren, anstatt die ältere Play-Lizenzierungsbibliothek zu verwenden.

Automatischer Schutz:  Verhindern Sie unbefugten Zugriff mit dem automatischen Schutz von Google Play und sorgen Sie dafür, dass Nutzer weiterhin die offiziellen App-Updates erhalten. Aktivieren Sie die Funktion und Google Play fügt dem Code Ihrer App automatisch eine Installationsprüfung hinzu. Es ist keine Entwicklerintegration erforderlich. Wenn Ihre geschützte App über einen anderen Kanal weitergegeben oder geteilt wird, wird der Nutzer aufgefordert, sie bei Google Play herunterzuladen. Berechtigte Play-Entwickler haben auch Zugriff auf den erweiterten Manipulationsschutz von Google Play, der Verschleierung und Laufzeitprüfungen verwendet, um es Angreifern zu erschweren und teurer zu machen, geschützte Apps zu ändern und weiterzugeben.

Bestätigung des Android-Plattformschlüssels: Die Play Integrity API ist die empfohlene Methode, um von der hardwaregestützten Bestätigung des Android-Plattformschlüssels zu profitieren. Die Play Integrity API kümmert sich um die zugrunde liegende Implementierung im gesamten Geräteökosystem. Google Play behebt automatisch Probleme und Ausfälle im Zusammenhang mit Schlüsseln und Sie können die API verwenden, um andere Bedrohungen zu erkennen. Entwickler, die die Schlüsselbestätigung direkt implementieren, anstatt sich auf die Play Integrity API zu verlassen, sollten sich auf die bevorstehende Rotation des Android-Plattform-Rootzertifikats im Februar 2026 vorbereiten, um Unterbrechungen zu vermeiden. Entwickler, die die Play Integrity API verwenden, müssen nichts weiter tun.

Firebase App Check: Entwickler, die Firebase verwenden, können Firebase App Check nutzen, um ein Ergebnis zur App- und Geräteintegrität zu erhalten, das von der Play Integrity API auf zertifizierten Android-Geräten bereitgestellt wird, sowie Antworten von anderen Anbietern von Plattformbestätigungen. Um alle anderen Bedrohungen zu erkennen und andere Play-Funktionen zu nutzen, binden Sie die Play Integrity API direkt ein.

reCAPTCHA Enterprise: Unternehmenskunden, die eine umfassende Lösung für die Betrugs- und Bot-Verwaltung suchen, können reCAPTCHA Enterprise für Mobilgeräte erwerben. reCAPTCHA Enterprise verwendet einige der Anti-Missbrauchssignale der Play Integrity API und kombiniert sie standardmäßig mit reCAPTCHA-Signalen.

Schützen Sie Ihr Unternehmen noch heute

Mit einer starken Grundlage in der hardwaregestützten Sicherheit und neuen automatisierten Dialogfeldern zur Fehlerbehebung, die die Integration vereinfachen, ist die Play Integrity API ein unverzichtbares Tool, um Ihr Wachstum zu schützen.

Weitere Informationen finden Sie in der Dokumentation zur Play Integrity API.