Im mobilen Ökosystem kann Missbrauch Ihren Umsatz, Ihr Wachstum und das Vertrauen der Nutzer gefährden. Um Entwickler zu unterstützen, bietet Google Play mit der Play Integrity API einen robusten Dienst zur Erkennung von Bedrohungen. Mit der Play Integrity API können Sie überprüfen, ob Interaktionen und Serveranfragen echt sind – also von einer unveränderten Instanz Ihrer App auf einem zertifizierten Android-Gerät stammen, die über Google Play installiert wurde.

Die Auswirkungen sind erheblich: Bei Apps, die Play Integrity-Funktionen nutzen, wurde im Vergleich zu anderen Apps durchschnittlich 80% weniger unautorisierte Nutzung beobachtet. Heute nutzen führende Unternehmen aus verschiedenen Kategorien wie Uber, TikTok, Stripe, Kabam, Wooga, Radar.com, Zimperium, Paytm und Remini die Lösung, um ihre Unternehmen zu schützen.

Wir arbeiten kontinuierlich daran, die Play Integrity API zu verbessern. Sie lässt sich jetzt einfacher einbinden, ist robuster gegenüber ausgeklügelten Angriffen und bietet mit neuen In-App-Korrekturaufforderungen von Google Play eine bessere Möglichkeit, Nutzer wiederherzustellen, die die Integritätsstandards nicht erfüllen oder Fehler haben.

Bedrohungen für Ihr Unternehmen erkennen

Die Play Integrity API bietet Ergebnisse, mit denen sich bestimmte Bedrohungen erkennen lassen, die sich bei kritischen Interaktionen auf Ihr Endergebnis auswirken.

• Unautorisierter Zugriff: Mit dem Ergebnis accountDetails können Sie ermitteln, ob der Nutzer Ihre App oder Ihr Spiel bei Google Play installiert oder dafür bezahlt hat.
• Codemanipulation: Mit dem Ergebnis appIntegrity können Sie feststellen, ob Sie mit Ihrem unveränderten Binärprogramm in der Form interagieren, die Google Play bekannt ist.
• Risikobehaftete Geräte und emulierte Umgebungen: Mit dem Ergebnis deviceIntegrity können Sie feststellen, ob Ihre App auf einem echten, von Play Protect zertifizierten Android-Gerät oder einer echten Instanz von Google Play Games auf dem PC ausgeführt wird.
• Geräte ohne Patch: Bei Geräten mit Android 13 und höher können Sie mit der Antwort MEETS_STRONG_INTEGRITY im deviceIntegrity-Ergebnis feststellen, ob auf einem Gerät aktuelle Sicherheitsupdates installiert wurden. Sie können auch deviceAttributes aktivieren, um die bestätigte Android SDK-Version in die Antwort aufzunehmen.
• Risikoreicher Zugriff durch andere Apps:Mit dem appAccessRiskVerdict können Sie ermitteln, ob Apps ausgeführt werden, die möglicherweise den Bildschirm aufnehmen, Overlays einblenden oder das Gerät steuern können (z. B. durch Missbrauch der Bedienungshilfe-Berechtigung). Apps, die echten Bedienungshilfezwecken dienen, werden durch dieses Urteil automatisch ausgeschlossen.
• Bekannte Malware:Mit dem playProtectVerdict können Sie prüfen, ob Google Play Protect aktiviert ist und ob auf dem Gerät installierte Apps gefunden wurden, die als riskant oder gefährlich eingestuft werden.
• Hyperaktivität:Mit der Ebene „recentDeviceActivity“ können Sie feststellen, ob ein Gerät in letzter Zeit eine ungewöhnlich hohe Anzahl von Integritäts-Token-Anfragen gesendet hat. Dies könnte auf automatisierten Traffic hindeuten und ein Zeichen für einen Angriff sein.
• Wiederholter Missbrauch und wiederverwendete Geräte:Mit deviceRecall (Beta) können Sie feststellen, ob Sie mit einem Gerät interagieren, das Sie zuvor gekennzeichnet haben, auch wenn Ihre App neu installiert oder das Gerät zurückgesetzt wurde. Mit der Gerätewiedererkennung können Sie die Wiederholungsaktionen anpassen, die Sie erfassen möchten.

Die API kann für alle Android-Formfaktoren verwendet werden, einschließlich Smartphones, Tablets, Foldables, Android Auto, Android TV, Android XR, ChromeOS, Wear OS und Google Play Games auf dem PC.

Play Integrity API optimal nutzen

Apps und Spiele haben mit der Play Integrity API Erfolg erzielt, indem sie die Sicherheitsempfehlungen befolgt und ihre Strategie gegen Missbrauch schrittweise umgesetzt haben.

Schritt 1: Entscheiden Sie, was Sie schützen möchten: Legen Sie fest, welche Aktionen und Serveranfragen in Ihren Apps und Spielen wichtig sind, um sie zu überprüfen und zu schützen. Sie könnten beispielsweise Integritätsprüfungen durchführen, wenn ein Nutzer die App startet, sich anmeldet, einem Mehrspielerspiel beitritt, KI-Inhalte generiert oder Geld überweist.

Schritt 2: Antworten auf Integritätsprüfungen erfassen: Führen Sie Integritätsprüfungen zu wichtigen Zeitpunkten durch, um mit dem Erfassen von Prüfungsdaten zu beginnen, ohne dass die Prüfungen anfangs erzwungen werden. So können Sie die Antworten für Ihre Installationsbasis analysieren und sehen, wie sie mit Ihren vorhandenen Missbrauchssignalen und historischen Missbrauchsdaten korrelieren.

Schritt 3: Durchsetzungsstrategie festlegen: Legen Sie Ihre Durchsetzungsstrategie basierend auf Ihrer Analyse der Antworten und den Inhalten fest, die Sie schützen möchten. Sie können beispielsweise riskanten Traffic in wichtigen Momenten ändern, um sensible Funktionen zu schützen. Die API bietet eine Reihe von Antworten, sodass Sie eine mehrstufige Strategie basierend auf dem Vertrauensniveau implementieren können, das Sie jeder Kombination von Antworten zuweisen.

Schritt 4: Erzwingung schrittweise einführen und Nutzer unterstützen:Führen Sie die Erzwingung schrittweise ein. Sie sollten eine Strategie für Wiederholungsversuche haben, wenn mit den Ergebnissen Probleme auftreten oder sie nicht verfügbar sind. Außerdem sollten Sie darauf vorbereitet sein, Nutzern mit Problemen zu helfen. Die neuen In-App-Aufforderungen zur Fehlerbehebung bei Google Play, die unten beschrieben werden, machen es einfacher denn je, Nutzern mit Problemen zu helfen.

NEU: Play kann Nutzer mit Problemen automatisch zurückgewinnen

Es kann komplex sein, zu entscheiden, wie auf verschiedene Integritätssignale reagiert werden soll. Sie müssen verschiedene Integritätsantworten und API-Fehlercodes (z. B. Netzwerkprobleme oder veraltete Play-Dienste) verarbeiten. Mit den neuen Google Play-Aufforderungen zur In-App-Behebung wird dies vereinfacht. Sie können Ihren Nutzern einen Google Play-Hinweis anzeigen, um eine Vielzahl von Problemen direkt in Ihrer App automatisch zu beheben. Das verringert die Komplexität der Integration, sorgt für eine einheitliche Benutzeroberfläche und hilft, mehr Nutzer wieder in einen guten Zustand zu versetzen.

GET_INTEGRITY erkennt das Problem (in diesem Beispiel einen Netzwerkfehler) automatisch und behebt es.

Sie können das Dialogfeld  GET_INTEGRITY, das in der Play Integrity API-Bibliothek ab Version 1.5.0 verfügbar ist, nach einer Reihe von Problemen auslösen, um den Nutzer automatisch durch die erforderlichen Korrekturen zu führen. Dazu gehören:

• Unautorisierter Zugriff : GET_INTEGRITY leitet den Nutzer zurück zu einer Google Play-lizenzierten Antwort in „accountDetails“.
• Code-Manipulation:GET_INTEGRITY leitet den Nutzer zurück zu einer von Play erkannten Antwort in „appIntegrity“.
• Probleme mit der Geräteintegrität:GET_INTEGRITY führt den Nutzer an, wie er in deviceIntegrity wieder den Status MEETS_DEVICE_INTEGRITY erreichen kann.
• Behebbare Fehlercodes:Mit GET_INTEGRITY werden behebbare API-Fehler behoben, z. B. indem der Nutzer aufgefordert wird, die Netzwerkverbindung zu reparieren oder die Google Play-Dienste zu aktualisieren.

Außerdem bieten wir spezielle Dialogfelder an, darunter  GET_STRONG_INTEGRITY (funktioniert wie GET_INTEGRITY, versetzt den Nutzer aber auch wieder in den Zustand MEETS_STRONG_INTEGRITY ohne bekannte Malware-Probleme in der playProtectVerdict), GET_LICENSED (versetzt den Nutzer wieder in einen Zustand, in dem er eine Google Play-Lizenz hat und von Google Play erkannt wird) sowie CLOSE_UNKNOWN_ACCESS_RISK und CLOSE_ALL_ACCESS_RISK (in denen der Nutzer aufgefordert wird, potenziell riskante Apps zu schließen).

Moderne Integritätslösungen auswählen

Zusätzlich zur Play Integrity API bietet Google mehrere andere Funktionen, die Sie im Rahmen Ihrer Strategie gegen Missbrauch in Betracht ziehen sollten. Sowohl die Play Integrity API als auch der automatische Schutz von Google Play bieten Vorteile für Nutzer und Entwickler, um die App-Verteilung zu schützen. Wir empfehlen, bestehende Apps auf diese modernen Lösungen zur Integritätsprüfung umzustellen, anstatt die alte Google Play-Lizenzierungsbibliothek zu verwenden.

Automatischer Schutz : Verhindern Sie mit dem automatischen Schutz von Google Play nicht autorisierten Zugriff und sorgen Sie dafür, dass Nutzer weiterhin Ihre offiziellen App-Updates erhalten. Wenn Sie diese Option aktivieren, fügt Google Play dem Code Ihrer App automatisch eine Prüfung des Installationsprogramms hinzu. Es ist kein Entwicklungsaufwand erforderlich. Wenn Ihre geschützte App über einen anderen Kanal weitergegeben oder geteilt wird, wird der Nutzer aufgefordert, Ihre App bei Google Play herunterzuladen. Berechtigte Play-Entwickler haben außerdem Zugriff auf den erweiterten Manipulationsschutz von Play, der Verschleierungs- und Laufzeitprüfungen verwendet, um es Angreifern zu erschweren und teurer zu machen, geschützte Apps zu modifizieren und weiterzugeben.

Schlüsselattestierung der Android-Plattform : Die Play Integrity API ist die empfohlene Methode, um die hardwaregestützte Schlüsselattestierung der Android-Plattform zu nutzen. Die Play Integrity API kümmert sich um die zugrunde liegende Implementierung im gesamten Geräte-Ökosystem. Google Play behebt automatisch schlüsselbezogene Probleme und Ausfälle und Sie können die API verwenden, um andere Bedrohungen zu erkennen. Entwickler, die die Schlüsselattestierung direkt implementieren, anstatt sich auf die Play Integrity API zu verlassen, sollten sich auf die bevorstehende Rotation des Android-Plattform-Root-Zertifikats im Februar 2026 vorbereiten, um Unterbrechungen zu vermeiden. Entwickler, die die Play Integrity API verwenden, müssen nichts weiter tun.

Firebase App Check: Entwickler, die Firebase verwenden, können Firebase App Check nutzen, um auf zertifizierten Android-Geräten ein App- und Geräteintegritätsergebnis zu erhalten, das auf der Play Integrity API basiert. Außerdem erhalten sie Antworten von anderen Plattform-Attestierungsanbietern. Wenn Sie alle anderen Bedrohungen erkennen und andere Play-Funktionen nutzen möchten, müssen Sie die Play Integrity API direkt einbinden.

reCAPTCHA Enterprise: Enterprise-Kunden, die eine umfassende Lösung für Betrugs- und Bot-Management suchen, können reCAPTCHA Enterprise für Mobilgeräte erwerben. reCAPTCHA Enterprise verwendet einige der Anti-Missbrauchssignale der Play Integrity API und kombiniert sie standardmäßig mit reCAPTCHA-Signalen.

Schützen Sie Ihr Unternehmen noch heute

Die Play Integrity API bietet eine solide Grundlage für hardwaregestützte Sicherheit und neue automatisierte Korrekturdialoge, die die Integration vereinfachen. Sie ist ein unverzichtbares Tool, um Ihr Wachstum zu schützen.

Dokumentation zur Play Integrity API