Mobil ekosistemde kötüye kullanım, gelirinizi, büyümenizi ve kullanıcı güvenini tehdit edebilir. Google Play, geliştiricilerin başarılı olmasına yardımcı olmak için esnek bir tehdit algılama hizmeti olan Play Integrity API'yi sunar. Play Integrity API, etkileşimlerin ve sunucu isteklerinin orijinal olup olmadığını (Google Play tarafından yüklenen, sertifikalı bir Android cihazdaki değiştirilmemiş uygulamanızdan gelip gelmediğini) doğrulamanıza yardımcı olur.

Etkisi büyüktür: Play Integrity API'yi kullanan uygulamalar, diğer uygulamalara kıyasla ortalama % 80 daha az yetkisiz kullanım yaşamaktadır. Bugün Uber, TikTok, Stripe, Kabam, Wooga, Radar.com, Zimperium, Paytm ve Remini gibi çeşitli kategorilerdeki liderler, işletmelerini korumak için bu araçtan yararlanıyor.

Play Integrity API'yi geliştirmeye devam ediyoruz. Bu sayede API'nin entegrasyonu kolaylaşıyor, gelişmiş saldırılara karşı daha dayanıklı hale geliyor ve yeni Play uygulama içi düzeltme istemleriyle bütünlük standartlarını karşılamayan veya hatalarla karşılaşan kullanıcıların kurtarılması kolaylaşıyor.

İşletmenize yönelik tehditleri tespit etme

Play Integrity API, kritik etkileşimler sırasında kârınızı etkileyen belirli tehditleri tespit etmek için tasarlanmış değerlendirmeler sunar.

• Yetkisiz erişim: accountDetails değerlendirmesi, kullanıcının Google Play'de uygulamanızı veya oyununuzu yükleyip yüklemediğini ya da bunlar için ödeme yapıp yapmadığını belirlemenize yardımcı olur.
• Kod kurcalama: appIntegrity değerlendirmesi, Google Play tarafından tanınan değiştirilmemiş ikili programınızla etkileşim kurup kurmadığınızı belirlemenize yardımcı olur.
• Riskli cihazlar ve emüle edilmiş ortamlar: deviceIntegrity değerlendirmesi, uygulamanızın orijinal ve Play Protect sertifikalı bir Android cihazda veya PC Üzerinde Google Play Games'in orijinal bir örneğinde çalışıp çalışmadığını belirlemenize yardımcı olur.
• Yama uygulanmamış cihazlar: Android 13 ve sonraki sürümleri çalıştıran cihazlarda, deviceIntegrity kararındaki MEETS_STRONG_INTEGRITY yanıtı, bir cihazın son güvenlik güncellemelerini uygulayıp uygulamadığını belirlemenize yardımcı olur. Onaylanmış Android SDK sürümünü yanıta dahil etmek için deviceAttributes'i de etkinleştirebilirsiniz.
• Diğer uygulamalar tarafından riskli erişim: appAccessRiskVerdict; ekranı kaydetmek, yer paylaşımları göstermek veya cihazı kontrol etmek (ör. erişilebilirlik iznini kötüye kullanarak) için kullanılabilecek uygulamaların çalışıp çalışmadığını belirlemenize yardımcı olur. Bu karar, gerçek erişilebilirlik amaçlarına hizmet eden uygulamaları otomatik olarak hariç tutar.
• Bilinen kötü amaçlı yazılımlar: playProtectVerdict, Google Play Protect'in açık olup olmadığını ve cihazda riskli ya da tehlikeli uygulamalar bulup bulmadığını belirlemenize yardımcı olur.
• Aşırı etkinlik: recentDeviceActivity düzeyi, bir cihazın son zamanlarda anormal derecede fazla bütünlük jetonu isteği gönderip göndermediğini belirlemenize yardımcı olur. Bu durum, otomatik trafiğe işaret edebilir ve saldırı belirtisi olabilir.
• Tekrarlanan kötüye kullanım ve yeniden kullanılan cihazlar: deviceRecall (beta), uygulamanız yeniden yüklense veya cihaz sıfırlansa bile daha önce işaretlediğiniz bir cihazla etkileşimde bulunup bulunmadığınızı belirlemenize yardımcı olur. Cihaz hatırlatma özelliğiyle, izlemek istediğiniz tekrar eden işlemleri özelleştirebilirsiniz.

API; telefonlar, tabletler, katlanabilir cihazlar, Android Auto, Android TV, Android XR, ChromeOS, Wear OS ve PC Üzerinde Google Play Games gibi çeşitli Android form faktörlerinde kullanılabilir.

Play Integrity API'den en iyi şekilde yararlanma

Uygulamalar ve oyunlar, güvenlikle ilgili dikkat edilmesi gerekenleri göz önünde bulundurarak ve kötüye kullanımı önleme stratejilerinde aşamalı bir yaklaşım benimseyerek Play Integrity API ile başarıya ulaştı.

1. adım: Neyi korumak istediğinize karar verin: Uygulamalarınızdaki ve oyunlarınızdaki hangi işlemlerin ve sunucu isteklerinin doğrulanması ve korunması gerektiğine karar verin. Örneğin, kullanıcı uygulamayı başlatırken, oturum açarken, çok oyunculu bir oyuna katılırken, yapay zeka içeriği oluştururken veya para transferi yaparken bütünlük kontrolleri gerçekleştirebilirsiniz.

2. adım: Bütünlük kararı yanıtlarını toplayın: Başlangıçta yaptırım uygulamadan karar verilerini toplamaya başlamak için önemli anlarda bütünlük kontrolleri yapın. Bu sayede, yükleme tabanınızla ilgili yanıtları analiz edebilir ve mevcut kötüye kullanım sinyalleriniz ile geçmiş kötüye kullanım verilerinizle nasıl ilişkili olduklarını görebilirsiniz.

3. adım: Yaptırım stratejinize karar verin: Yanıtları analiz etmenize ve korumaya çalıştığınız öğelere göre yaptırım stratejinize karar verin. Örneğin, hassas işlevleri korumak için önemli anlarda riskli trafiği değiştirebilirsiniz. API, bir dizi yanıt sunar. Böylece, her yanıt kombinasyonuna verdiğiniz güven düzeyine göre katmanlı bir yaptırım stratejisi uygulayabilirsiniz.

4. adım: Yaptırımı kademeli olarak kullanıma sunun ve kullanıcılarınızı destekleyin: Yaptırımı kademeli olarak kullanıma sunun. Kararlarda sorun olduğunda veya kararlar kullanılamadığında yeniden deneme stratejiniz olmalı ve sorun yaşayan iyi kullanıcılara destek vermeye hazır olmalısınız. Aşağıda açıklanan yeni Play uygulama içi düzeltme istemleri, sorun yaşayan kullanıcıları iyi bir duruma getirmeyi her zamankinden daha kolay hale getiriyor.

YENİ: Play'in sorun yaşayan kullanıcıları otomatik olarak kurtarmasına izin verme

Farklı bütünlük sinyallerine nasıl yanıt vereceğinize karar vermek karmaşık olabilir. Çeşitli bütünlük yanıtlarını ve API hata kodlarını (ör. ağ sorunları veya güncel olmayan Play Hizmetleri) ele almanız gerekir. Yeni Play uygulama içi düzeltme istemleri ile bu süreci basitleştiriyoruz. Kullanıcılarınıza Google Play istemi göstererek çok çeşitli sorunları doğrudan uygulamanızda otomatik olarak düzeltebilirsiniz. Bu, entegrasyon karmaşıklığını azaltır, tutarlı bir kullanıcı arayüzü sağlar ve daha fazla kullanıcının iyi bir duruma dönmesine yardımcı olur.

GET_INTEGRITY, sorunu (bu örnekte ağ hatası) otomatik olarak algılar ve çözer.

Play Integrity API kitaplığının 1.5.0 ve sonraki sürümlerinde bulunan  GET_INTEGRITY iletişim kutusunu, çeşitli sorunların ardından tetikleyerek kullanıcıyı gerekli düzeltmeler konusunda otomatik olarak yönlendirebilirsiniz. Örneğin:

• Yetkisiz erişim: GET_INTEGRITY, kullanıcıyı accountDetails'teki Play lisanslı bir yanıta yönlendirir.
• Kod kurcalama: GET_INTEGRITY, kullanıcıyı appIntegrity'de Play tarafından tanınan bir yanıta yönlendirir.
• Cihaz bütünlüğü sorunları: GET_INTEGRITY, kullanıcıya deviceIntegrity içinde MEETS_DEVICE_INTEGRITY durumuna nasıl döneceği konusunda yol gösterir.
• Düzeltilebilir hata kodları: GET_INTEGRITY, kullanıcının ağ bağlantısını düzeltmesini veya Google Play Hizmetleri'ni güncellemesini isteme gibi düzeltilebilir API hatalarını giderir.

Ayrıca,  GET_STRONG_INTEGRITY (playProtectVerdict içinde bilinen kötü amaçlı yazılım sorunları olmadan kullanıcıyı MEETS_STRONG_INTEGRITY durumuna geri getirirken GET_INTEGRITY gibi çalışır), GET_LICENSED (kullanıcıyı Play lisanslı ve Play tarafından tanınan bir duruma geri getirir) ve CLOSE_UNKNOWN_ACCESS_RISK ile CLOSE_ALL_ACCESS_RISK (kullanıcıyı riskli olabilecek uygulamaları kapatmaya yönlendirir) gibi özel iletişim kutuları da sunuyoruz.

Modern bütünlük çözümlerini tercih edin

Google, Play Integrity API'ye ek olarak genel kötüye kullanımı önleme stratejinizin bir parçası olarak değerlendirebileceğiniz başka özellikler de sunar. Hem Play Integrity API hem de Play'in otomatik koruması, uygulama dağıtımını korumak için kullanıcı deneyimi ve geliştirici avantajları sunar. Mevcut uygulamaların eski Play lisanslama kitaplığını kullanmak yerine bu modern bütünlük çözümlerine geçmesini öneririz.

Otomatik koruma: Google Play'in otomatik koruması ile yetkisiz erişimi önleyin ve kullanıcıların resmi uygulama güncellemelerinizi almaya devam etmesini sağlayın. Bu özelliği etkinleştirdiğinizde Google Play, geliştirici entegrasyonu çalışması gerektirmeden uygulamanızın koduna otomatik olarak bir yükleyici denetimi ekler. Korumalı uygulamanız başka bir kanal üzerinden yeniden dağıtılır veya paylaşılırsa kullanıcıdan uygulamanızı Google Play'den indirmesi istenir. Uygun Play geliştiricileri, korunan uygulamaların saldırganlar tarafından değiştirilip yeniden dağıtılmasını zorlaştırmak ve maliyetini artırmak için kod karartma ve çalışma zamanı kontrollerini kullanan Play'in gelişmiş kurcalama karşıtı korumasına da erişebilir.

Android platform anahtarı onayı:  Play Integrity API, donanım tabanlı Android platform anahtarı onayından yararlanmak için önerilen yöntemdir. Play Integrity API, cihaz ekosistemindeki temel uygulamayı yönetir. Play, anahtarla ilgili sorunları ve kesintileri otomatik olarak azaltır. API'yi kullanarak diğer tehditleri tespit edebilirsiniz. Play Integrity API'yi kullanmak yerine doğrudan anahtar onayı uygulayan geliştiriciler, kesintileri önlemek için Şubat 2026'da gerçekleşecek Android platformu kök sertifikası rotasyonuna hazırlanmalıdır (Play Integrity API'yi kullanan geliştiricilerin herhangi bir işlem yapması gerekmez).

Firebase Uygulama Kontrolü: Firebase kullanan geliştiriciler, sertifikalı Android cihazlarda Play Integrity API tarafından desteklenen bir uygulama ve cihaz bütünlüğü kararı ile diğer platform onay sağlayıcılarından yanıtlar almak için Firebase Uygulama Kontrolü'nü kullanabilir. Diğer tüm tehditleri tespit etmek ve diğer Play özelliklerini kullanmak için Play Integrity API'yi doğrudan entegre edin.

reCAPTCHA Enterprise: Kapsamlı bir sahtekarlık ve bot yönetimi çözümü arayan kurumsal müşteriler, mobil için reCAPTCHA Enterprise'ı satın alabilir. reCAPTCHA Enterprise, Play Integrity API'nin kötüye kullanıma karşı koruma sinyallerinden bazılarını kullanır ve bunları kutudan çıktığı haliyle reCAPTCHA sinyalleriyle birleştirir.

İşletmenizi bugün koruma altına alın

Donanım tabanlı güvenlik ve entegrasyonu basitleştiren yeni otomatik düzeltme iletişim kutularıyla güçlü bir temel sunan Play Integrity API, büyümenizi korumak için vazgeçilmez bir araçtır.

Play Integrity API dokümanlarını kullanmaya başlayın.