W ekosystemie mobilnym nadużycia mogą zagrażać Twoim przychodom, wzrostowi i zaufaniu użytkowników. Aby pomóc deweloperom w osiąganiu sukcesów, Google Play oferuje niezawodną usługę wykrywania zagrożeń – interfejs Play Integrity API. Interfejs Play Integrity API pomaga sprawdzać, czy interakcje i żądania serwera są autentyczne – pochodzą z niezmodyfikowanej aplikacji na certyfikowanym urządzeniu z Androidem zainstalowanej z Google Play.

Wpływ jest znaczący: aplikacje korzystające z funkcji ochrony integralności w Google Play odnotowują średnio o 80% mniejsze nieautoryzowane użycie w porównaniu z innymi aplikacjami. Korzystają z niej liderzy z różnych branż, m.in. Uber, TikTok, Stripe, Kabam, Wooga, Radar.com, Zimperium, Paytm i Remini, aby chronić swoje firmy.

Stale ulepszamy interfejs Play Integrity API, aby ułatwić jego integrację, zwiększyć odporność na zaawansowane ataki i poprawić odzyskiwanie użytkowników, którzy nie spełniają standardów integralności lub napotykają błędy, dzięki nowym promptom w aplikacji w Google Play.

Wykrywanie zagrożeń dla Twojej firmy

Interfejs Play Integrity API udostępnia oceny zaprojektowane do wykrywania konkretnych zagrożeń, które mają wpływ na Twoje wyniki finansowe podczas krytycznych interakcji.

• Nieautoryzowany dostęp: werdykt accountDetails pomaga określić, czy użytkownik zainstalował Twoją aplikację lub grę w Google Play lub za nią zapłacił.
• Modyfikacja kodu: wynik appIntegrity pomaga określić, czy używasz niezmodyfikowanego pliku binarnego rozpoznawanego przez Google Play.
• Urządzenia stwarzające ryzyko i środowiska emulowane: ocena deviceIntegrity pomaga określić, czy aplikacja działa na oryginalnym urządzeniu z Androidem z certyfikatem Play Protect lub na oryginalnej instancji Gier Google Play na PC.
• Urządzenia bez poprawek: w przypadku urządzeń z Androidem 13 i nowszym odpowiedź MEETS_STRONG_INTEGRITY w wyniku deviceIntegrity pomaga określić, czy na urządzeniu zastosowano najnowsze aktualizacje zabezpieczeń. Możesz też wyrazić zgodę na deviceAttributes, aby w odpowiedzi uwzględnić potwierdzoną wersję pakietu Android SDK.
• Ryzykowny dostęp innych aplikacji: appAccessRiskVerdict pomaga określić, czy uruchomione są aplikacje, które mogą przechwytywać ekran, wyświetlać nakładki lub sterować urządzeniem (np. przez niewłaściwe wykorzystanie uprawnień ułatwień dostępu). Ta ocena automatycznie wyklucza aplikacje, które służą do ułatwień dostępu.
• Znane złośliwe oprogramowanie: playProtectVerdict pomaga określić, czy usługa Google Play Protect jest włączona i czy wykryła zainstalowane na urządzeniu stwarzające ryzyko lub niebezpieczne aplikacje.
• Nadaktywność: poziom recentDeviceActivity pomaga określić, czy urządzenie w ostatnim czasie wysłało anomalnie dużą liczbę żądań tokena integralności, co może wskazywać na zautomatyzowany ruch i być oznaką ataku.
• Powtarzające się nadużycia i ponownie używane urządzenia: deviceRecall (beta) pomaga określić, czy wchodzisz w interakcję z urządzeniem, które zostało wcześniej przez Ciebie oznaczone, nawet jeśli aplikacja została ponownie zainstalowana lub urządzenie zostało zresetowane. Dzięki funkcji zapamiętania urządzenia możesz dostosować powtarzane działania, które chcesz śledzić.

Interfejsu API można używać na urządzeniach z Androidem, w tym na telefonach, tabletach, urządzeniach składanych, Androidzie Auto, Androidzie TV, Androidzie XR, ChromeOS, Wear OS i w Grach Google Play na PC.

Pełne wykorzystanie możliwości interfejsu Play Integrity API

Aplikacje i gry odniosły sukces dzięki interfejsowi Play Integrity API, ponieważ uwzględniły kwestie bezpieczeństwa i zastosowały stopniowe podejście do strategii przeciwdziałania nadużyciom.

Krok 1. Zdecyduj, co chcesz chronić: określ, które działania i żądania serwera w aplikacjach i grach są ważne do zweryfikowania i ochrony. Możesz na przykład przeprowadzać testy integralności, gdy użytkownik uruchamia aplikację, loguje się, dołącza do gry wieloosobowej, generuje treści oparte na AI lub przesyła pieniądze.

Krok 2. Zbieraj odpowiedzi dotyczące oceny integralności: przeprowadzaj kontrole integralności w ważnych momentach, aby zacząć zbierać dane o wynikach, początkowo bez egzekwowania. Dzięki temu możesz analizować odpowiedzi użytkowników i sprawdzać, jak korelują one z dotychczasowymi sygnałami nadużyć i danymi historycznymi o nadużyciach.

Krok 3. Określ strategię egzekwowania: określ strategię egzekwowania na podstawie analizy odpowiedzi i tego, co chcesz chronić. Możesz na przykład zmieniać ryzykowny ruch w ważnych momentach, aby chronić wrażliwe funkcje. Interfejs API oferuje szereg odpowiedzi, dzięki czemu możesz wdrożyć wielopoziomową strategię egzekwowania zasad na podstawie poziomu zaufania, jaki przypisujesz do każdej kombinacji odpowiedzi.

Krok 4. Stopniowo wdrażaj egzekwowanie zasad i zapewniaj wsparcie użytkownikom: stopniowo wdrażaj egzekwowanie zasad. W przypadku problemów z decyzjami lub ich niedostępności stosuj strategię ponawiania prób. Przygotuj się też na pomoc użytkownikom, którzy mają problemy. Nowe komunikaty w aplikacji w Google Play, opisane poniżej, ułatwiają przywracanie użytkownikom, którzy mają problemy, możliwości korzystania z aplikacji.

NOWOŚĆ: automatyczne odzyskiwanie użytkowników, którzy mają problemy

Decyzja o tym, jak reagować na różne sygnały dotyczące integralności, może być skomplikowana. Musisz obsługiwać różne odpowiedzi dotyczące integralności i kody błędów interfejsu API (np. problemy z siecią lub nieaktualne Usługi Play). Ułatwiamy to dzięki nowym powiadomieniom w aplikacji w Google Play. Możesz wyświetlać użytkownikom prośbę o skorzystanie z Google Play, aby automatycznie rozwiązywać różne problemy bezpośrednio w aplikacji. Zmniejsza to złożoność integracji, zapewnia spójny interfejs użytkownika i pomaga przywrócić prawidłowe działanie aplikacji u większej liczby użytkowników.

Interfejs GET_INTEGRITY automatycznie wykrywa problem (w tym przykładzie błąd sieci) i go rozwiązuje.

Możesz wywołać okno  GET_INTEGRITY dostępne w bibliotece interfejsu Play Integrity API w wersji 1.5.0 lub nowszej po wystąpieniu różnych problemów, aby automatycznie przeprowadzić użytkownika przez niezbędne poprawki, w tym:

• Nieautoryzowany dostęp:  GET_INTEGRITY kieruje użytkownika z powrotem do odpowiedzi z licencją Play w accountDetails.
• Modyfikacja kodu: GET_INTEGRITY kieruje użytkownika z powrotem do odpowiedzi rozpoznawanej przez Google Play w interfejsie appIntegrity.
• Problemy z integralnością urządzenia: GET_INTEGRITY zawiera wskazówki dla użytkownika, jak wrócić do stanu MEETS_DEVICE_INTEGRITY w deviceIntegrity.
• Kody błędów, które można naprawić: funkcja GET_INTEGRITY rozwiązuje błędy interfejsu API, które można naprawić, np. wyświetla użytkownikowi prośbę o naprawienie połączenia sieciowego lub zaktualizowanie Usług Google Play.

Oferujemy też specjalistyczne okna dialogowe, w tym  GET_STRONG_INTEGRITY (działa jak GET_INTEGRITY, a dodatkowo przywraca użytkownikowi stan MEETS_STRONG_INTEGRITY bez znanych problemów ze złośliwym oprogramowaniem w playProtectVerdict), GET_LICENSED (przywraca użytkownikowi stan, w którym aplikacja jest licencjonowana i rozpoznawana przez Google Play) oraz CLOSE_UNKNOWN_ACCESS_RISK i CLOSE_ALL_ACCESS_RISK (zachęcają użytkownika do zamknięcia potencjalnie ryzykownych aplikacji).

Wybieranie nowoczesnych rozwiązań dotyczących integralności

Oprócz interfejsu Play Integrity API Google oferuje kilka innych funkcji, które warto wziąć pod uwagę w ramach ogólnej strategii przeciwdziałania nadużyciom. Zarówno interfejs Play Integrity API, jak i automatyczna ochrona w Google Play zapewniają korzyści dla użytkowników i deweloperów w zakresie zabezpieczania dystrybucji aplikacji. Zachęcamy deweloperów, aby w przypadku dotychczasowych aplikacji przeszli na te nowoczesne rozwiązania w zakresie integralności zamiast korzystać z starszej biblioteki licencjonowania w Google Play.

Ochrona automatyczna:  zapobiegaj nieautoryzowanemu dostępowi dzięki ochronie automatycznej w Google Play i zapewnij użytkownikom możliwość otrzymywania oficjalnych aktualizacji aplikacji. Włącz tę opcję, a Google Play automatycznie doda do kodu aplikacji kontrolę instalacji. Nie musisz wykonywać żadnych czynności związanych z integracją. Jeśli Twoja chroniona aplikacja zostanie rozpowszechniona lub udostępniona za pomocą innego kanału, użytkownik zobaczy prośbę o pobranie jej z Google Play. Kwalifikujący się deweloperzy w Google Play mają też dostęp do zaawansowanej ochrony przed nieuprawnionymi modyfikacjami, która wykorzystuje zaciemnianie kodu i weryfikacje w czasie działania, aby utrudnić i podrożyć modyfikowanie i redystrybucję chronionych aplikacji.

Atestowanie klucza platformy Android:  interfejs Play Integrity API to zalecany sposób korzystania z atestowania klucza platformy Android wspieranego sprzętowo. Interfejs Play Integrity API obsługuje implementację w ekosystemie urządzeń, Google Play automatycznie rozwiązuje problemy związane z kluczami i awariami, a Ty możesz używać interfejsu API do wykrywania innych zagrożeń. Deweloperzy, którzy bezpośrednio wdrażają atestowanie kluczy zamiast korzystać z interfejsu Play Integrity API, powinni przygotować się na nadchodzącą rotację certyfikatu głównego platformy Androida w lutym 2026 roku, aby uniknąć przerw w działaniu (deweloperzy korzystający z interfejsu Play Integrity API nie muszą podejmować żadnych działań).

Sprawdzanie aplikacji Firebase: deweloperzy korzystający z Firebase mogą używać Sprawdzania aplikacji Firebase, aby otrzymywać na certyfikowanych urządzeniach z Androidem oceny integralności aplikacji i urządzenia oparte na Play Integrity API, a także odpowiedzi od innych dostawców atestów platformy. Aby wykrywać wszystkie inne zagrożenia i korzystać z innych funkcji Google Play, zintegruj interfejs Play Integrity API bezpośrednio.

reCAPTCHA Enterprise: klienci korporacyjni, którzy szukają kompleksowego rozwiązania do zarządzania oszustwami i botami, mogą kupić reCAPTCHA Enterprise na urządzenia mobilne. reCAPTCHA Enterprise korzysta z niektórych sygnałów interfejsu Play Integrity API dotyczących ochrony przed nadużyciami i łączy je z sygnałami reCAPTCHA.

Zabezpiecz swoją firmę

Interfejs Play Integrity API, który opiera się na zabezpieczeniach wspieranych sprzętowo i zawiera nowe automatyczne okna dialogowe ułatwiające integrację, jest niezbędnym narzędziem do ochrony Twojego rozwoju.

Zacznij korzystać z dokumentacji interfejsu Play Integrity API