Trong hệ sinh thái di động, hành vi sai trái có thể đe doạ doanh thu, sự tăng trưởng và lòng tin của người dùng. Để giúp nhà phát triển phát triển, Google Play cung cấp một dịch vụ phát hiện mối đe doạ linh hoạt là API Tính toàn vẹn của Play. Play Integrity API giúp bạn xác minh rằng các lượt tương tác và yêu cầu gửi đến máy chủ là chính thống – đến từ ứng dụng chưa sửa đổi của bạn trên một thiết bị Android đã được chứng nhận do Google Play cài đặt.

Tác động của API này là rất lớn: các ứng dụng sử dụng các tính năng về tính toàn vẹn của Play có tỷ lệ sử dụng trái phép thấp hơn 80% so với các ứng dụng khác. Ngày nay, các công ty hàng đầu trong nhiều danh mục – bao gồm Uber, TikTok, Stripe, Kabam, Wooga, Radar.com, Zimperium, Paytm và Remini – sử dụng API này để giúp bảo vệ doanh nghiệp của họ.

Chúng tôi đang tiếp tục cải thiện Play Integrity API, giúp bạn dễ dàng tích hợp hơn, linh hoạt hơn trước các cuộc tấn công tinh vi và cải thiện khả năng khôi phục người dùng không đáp ứng các tiêu chuẩn về tính toàn vẹn hoặc gặp lỗi với lời nhắc khắc phục mới trong ứng dụng Play.

Phát hiện các mối đe doạ đối với doanh nghiệp của bạn

API Tính toàn vẹn của Play cung cấp các kết quả được thiết kế để phát hiện các mối đe doạ cụ thể ảnh hưởng đến lợi nhuận của bạn trong các lượt tương tác quan trọng.

• Hành vi truy cập trái phép: Kết quả accountDetails giúp bạn xác định xem người dùng đã cài đặt hoặc thanh toán cho ứng dụng hoặc trò chơi của bạn trên Google Play hay chưa.
• Hành vi can thiệp vào mã: Kết quả appIntegrity giúp bạn xác định xem bạn có đang tương tác với tệp nhị phân chưa sửa đổi mà Google Play nhận dạng được hay không.
• Thiết bị có rủi ro và môi trường mô phỏng: Kết quả deviceIntegrity giúp bạn xác định xem ứng dụng có đang chạy trên một thiết bị Android chính hãng đã được chứng nhận Play Protect hay một phiên bản chính hãng của Google Play Games dành cho máy tính hay không.
• Thiết bị chưa có bản vá: Đối với các thiết bị chạy Android 13 trở lên, MEETS_STRONG_INTEGRITY phản hồi trong kết quả deviceIntegrity giúp bạn xác định xem một thiết bị đã áp dụng các bản cập nhật bảo mật gần đây hay chưa. Bạn cũng có thể chọn tham gia deviceAttributes để đưa phiên bản SDK Android đã được chứng thực vào phản hồi.
• Rủi ro khi các ứng dụng khác truy cập: appAccessRiskVerdict giúp bạn xác định xem có ứng dụng nào đang chạy có thể được dùng để ghi lại màn hình, hiển thị lớp phủ hoặc điều khiển thiết bị (ví dụ: bằng cách sử dụng sai quyền hỗ trợ tiếp cận) hay không. Kết quả này sẽ tự động loại trừ các ứng dụng phục vụ mục đích hỗ trợ tiếp cận chính thống.
• Phần mềm độc hại đã biết: playProtectVerdict giúp bạn xác định xem Google Play Protect đã được bật hay chưa, cũng như liệu Google Play Protect có tìm thấy trên thiết bị này ứng dụng nào gây rủi ro hoặc nguy hiểm hay không.
• Hoạt động quá mức: Cấp recentDeviceActivity giúp bạn xác định xem gần đây một thiết bị có thực hiện số lượng yêu cầu mã thông báo về tính toàn vẹn cao bất thường hay không. Đây có thể là dấu hiệu cho thấy lưu lượng truy cập tự động và có thể là dấu hiệu của một cuộc tấn công.
• Hành vi sai trái lặp lại và thiết bị được dùng lại: deviceRecall (thử nghiệm) giúp bạn xác định xem bạn có đang tương tác với một thiết bị mà bạn đã gắn cờ trước đây hay không, ngay cả khi ứng dụng của bạn được cài đặt lại hoặc thiết bị được đặt lại. Với tính năng ghi nhớ thiết bị, bạn có thể tuỳ chỉnh các hành động lặp lại mà bạn muốn theo dõi.

Bạn có thể sử dụng API này trên nhiều hệ số hình dạng Android, bao gồm cả điện thoại, máy tính bảng, thiết bị có thể gập lại, Android Auto, Android TV, Android XR, ChromeOS, Wear OS và trên Google Play Games dành cho máy tính.

Khai thác tối đa API Tính toàn vẹn của Play

Các ứng dụng và trò chơi đã thành công với API Tính toàn vẹn của Play bằng cách tuân thủ các yếu tố cần cân nhắc về bảo mật và áp dụng phương pháp từng bước cho chiến lược chống hành vi sai trái.

Bước 1: Quyết định những gì bạn muốn bảo vệ: Quyết định những hành động và yêu cầu gửi đến máy chủ trong ứng dụng và trò chơi của bạn là quan trọng để xác minh và bảo vệ. Ví dụ: bạn có thể thực hiện quy trình kiểm tra tính toàn vẹn khi người dùng khởi chạy ứng dụng, đăng nhập, tham gia trò chơi nhiều người chơi, tạo nội dung AI hoặc chuyển tiền.

Bước 2: Thu thập các phản hồi về kết quả về tính toàn vẹn: Thực hiện quy trình kiểm tra tính toàn vẹn vào những thời điểm quan trọng để bắt đầu thu thập dữ liệu kết quả mà ban đầu không cần thực thi. Bằng cách đó, bạn có thể phân tích các phản hồi cho cơ sở cài đặt của mình và xem các phản hồi đó tương quan với các tín hiệu hiện có về hành vi sai trái và dữ liệu về hành vi sai trái trong quá khứ như thế nào.

Bước 3: Quyết định chiến lược thực thi: Quyết định chiến lược thực thi dựa trên kết quả phân tích các phản hồi và những gì bạn đang cố gắng bảo vệ. Ví dụ: bạn có thể thay đổi lưu lượng truy cập có rủi ro vào những thời điểm quan trọng để bảo vệ chức năng nhạy cảm. API này cung cấp một loạt phản hồi để bạn có thể triển khai chiến lược thực thi theo cấp dựa trên mức độ tin cậy mà bạn dành cho từng tổ hợp phản hồi.

Bước 4: Dần dần triển khai việc thực thi và hỗ trợ người dùng: Dần dần triển khai việc thực thi. Hãy có chiến lược thử lại khi kết quả gặp vấn đề hoặc không có sẵn và chuẩn bị hỗ trợ những người dùng tốt gặp vấn đề. Lời nhắc khắc phục mới trong ứng dụng Play (được mô tả bên dưới) giúp bạn dễ dàng hơn bao giờ hết để đưa người dùng gặp vấn đề trở lại trạng thái tốt.

MỚI: Cho phép Play tự động khôi phục người dùng gặp vấn đề

Việc quyết định cách phản hồi các tín hiệu khác nhau về tính toàn vẹn có thể phức tạp, bạn cần xử lý nhiều phản hồi về tính toàn vẹn và mã lỗi API (như vấn đề về mạng hoặc dịch vụ Play đã lỗi thời). Chúng tôi đang đơn giản hoá việc này bằng lời nhắc khắc phục mới trong ứng dụng Play. Bạn có thể cho người dùng thấy lời nhắc của Google Play để tự động khắc phục nhiều vấn đề ngay trong ứng dụng của bạn. Điều này giúp giảm độ phức tạp khi tích hợp, đảm bảo giao diện người dùng nhất quán và giúp đưa nhiều người dùng trở lại trạng thái tốt.

GET_INTEGRITY tự động phát hiện vấn đề (trong ví dụ này là lỗi mạng) và giải quyết vấn đề đó.

Bạn có thể kích hoạt hộp thoại GET_INTEGRITY (có trong thư viện API Tính toàn vẹn của Play phiên bản 1.5.0 trở lên) sau một loạt vấn đề để tự động hướng dẫn người dùng thực hiện các bản sửa lỗi cần thiết, bao gồm:

• Hành vi truy cập trái phép: GET_INTEGRITY hướng dẫn người dùng quay lại phản hồi được cấp phép trên Play trong accountDetails.
• Hành vi can thiệp vào mã: GET_INTEGRITY hướng dẫn người dùng quay lại phản hồi được Play nhận dạng trong appIntegrity.
• Vấn đề về tính toàn vẹn của thiết bị: GET_INTEGRITY hướng dẫn người dùng cách quay lại trạng thái MEETS_DEVICE_INTEGRITY trong deviceIntegrity.
• Mã lỗi có thể khắc phục: GET_INTEGRITY giải quyết các lỗi API có thể khắc phục, chẳng hạn như nhắc người dùng khắc phục vấn đề về kết nối mạng hoặc cập nhật Dịch vụ Google Play.

Chúng tôi cũng cung cấp các hộp thoại chuyên biệt, bao gồm GET_STRONG_INTEGRITY (hoạt động giống như GET_INTEGRITY nhưng cũng đưa người dùng trở lại trạng thái MEETS_STRONG_INTEGRITY mà không gặp vấn đề nào về phần mềm độc hại đã biết trong playProtectVerdict), GET_LICENSED (đưa người dùng trở lại trạng thái được cấp phép và được Play nhận dạng), cũng như CLOSE_UNKNOWN_ACCESS_RISK và CLOSE_ALL_ACCESS_RISK (nhắc người dùng đóng các ứng dụng có thể gây rủi ro).

Chọn các giải pháp hiện đại về tính toàn vẹn

Ngoài API Tính toàn vẹn của Play, Google còn cung cấp một số tính năng khác mà bạn nên cân nhắc trong chiến lược chống hành vi sai trái tổng thể. Cả API Tính toàn vẹn của Play và tính năng tự động bảo vệ của Play đều mang lại lợi ích cho người dùng và nhà phát triển trong việc bảo vệ hoạt động phân phối ứng dụng. Chúng tôi khuyến khích các ứng dụng hiện có di chuyển sang các giải pháp hiện đại về tính toàn vẹn này thay vì sử dụng thư viện cấp phép cũ của Play.

Tính năng tự động bảo vệ:  Ngăn chặn hành vi truy cập trái phép bằng tính năng tự động bảo vệ của Google Play và đảm bảo người dùng tiếp tục nhận được các bản cập nhật ứng dụng chính thức của bạn. Hãy bật tính năng này và Google Play sẽ tự động thêm quy trình kiểm tra trình cài đặt vào mã của ứng dụng mà không yêu cầu nhà phát triển phải thực hiện công việc tích hợp. Nếu ứng dụng được bảo vệ của bạn được phân phối lại hoặc chia sẻ thông qua một kênh khác, thì người dùng sẽ được nhắc tải ứng dụng của bạn xuống qua Google Play. Các nhà phát triển đủ điều kiện trên Play cũng có quyền truy cập vào tính năng bảo vệ nâng cao chống giả mạo của Play. Tính năng này sử dụng kỹ thuật làm rối mã nguồn và các quy trình kiểm tra trong thời gian chạy để khiến kẻ tấn công gặp khó khăn và tốn kém hơn khi sửa đổi và phân phối lại các ứng dụng được bảo vệ.

Chứng thực khoá nền tảng Android:  API Tính toàn vẹn của Play là cách được đề xuất để hưởng lợi từ tính năng chứng thực khoá nền tảng Android được hỗ trợ bằng phần cứng. API Tính toàn vẹn của Play sẽ xử lý việc triển khai cơ bản trên hệ sinh thái thiết bị, Play sẽ tự động giảm thiểu các vấn đề và sự cố liên quan đến khoá, đồng thời bạn có thể sử dụng API này để phát hiện các mối đe doạ khác. Các nhà phát triển trực tiếp triển khai tính năng chứng thực khoá thay vì dựa vào API Tính toàn vẹn của Play nên chuẩn bị cho việc xoay vòng chứng chỉ gốc của Nền tảng Android sắp tới vào tháng 2 năm 2026 để tránh bị gián đoạn (các nhà phát triển sử dụng API Tính toàn vẹn của Play không cần làm gì).

Tính năng Kiểm tra ứng dụng Firebase: Các nhà phát triển sử dụng Firebase có thể dùng tính năng Kiểm tra ứng dụng Firebase để nhận kết quả về tính toàn vẹn của ứng dụng và thiết bị do API Tính toàn vẹn của Play cung cấp trên các thiết bị Android đã được chứng nhận, cùng với các phản hồi từ các nhà cung cấp dịch vụ chứng thực nền tảng khác. Để phát hiện tất cả các mối đe doạ khác và sử dụng các tính năng khác của Play, hãy tích hợp trực tiếp API Tính toàn vẹn của Play.

reCAPTCHA Enterprise: Khách hàng doanh nghiệp đang tìm kiếm giải pháp toàn diện để quản lý bot và gian lận có thể mua reCAPTCHA Enterprise cho thiết bị di động. reCAPTCHA Enterprise sử dụng một số tín hiệu chống hành vi sai trái của API Tính toàn vẹn của Play và kết hợp các tín hiệu đó với các tín hiệu reCAPTCHA.

Bảo vệ doanh nghiệp của bạn ngay hôm nay

Với nền tảng vững chắc về bảo mật dựa trên phần cứng và các hộp thoại khắc phục tự động mới giúp đơn giản hoá việc tích hợp, Play Integrity API là một công cụ thiết yếu để bảo vệ sự tăng trưởng của bạn.

Bắt đầu sử dụng tài liệu về API Tính toàn vẹn của Play.