Stärkere Bedrohungserkennung, einfachere Integration: Mit der Play Integrity API Wachstum schützen
5 Minuten Lesezeit
Im mobilen Ökosystem kann Missbrauch Ihre Einnahmen, Ihr Wachstum und das Vertrauen der Nutzer gefährden. Damit Entwickler erfolgreich sein können, bietet Google Play einen robusten Dienst zur Bedrohungserkennung: die Play Integrity API. Mit der Play Integrity API können Sie prüfen, ob Interaktionen und Serveranfragen echt sind – also von einer unveränderten Instanz Ihrer App auf einem zertifizierten Android-Gerät stammen, die über Google Play installiert wurde.
Die Auswirkungen sind erheblich: Bei Apps, die Play Integrity-Funktionen nutzen, wurde im Vergleich zu anderen Apps durchschnittlich 80% weniger unautorisierte Nutzung beobachtet. Heute nutzen führende Unternehmen aus verschiedenen Kategorien, darunter Uber, TikTok, Stripe, Kabam, Wooga, Radar.com, Zimperium, Paytm und Remini, die API, um ihre Unternehmen zu schützen.
Wir arbeiten kontinuierlich daran, die Play Integrity API zu verbessern. Sie ist jetzt einfacher zu integrieren, widerstandsfähiger gegen ausgeklügelte Angriffe und besser darin, Nutzern zu helfen, die die Integritätsstandards nicht erfüllen oder auf Fehler stoßen. Dazu werden neue In-App-Aufforderungen zur Fehlerbehebung in Google Play verwendet.
Bedrohungen für Ihr Unternehmen erkennen
Die Play Integrity API bietet Ergebnisse, mit denen bestimmte Bedrohungen erkannt werden können, die sich bei wichtigen Interaktionen auf Ihr Endergebnis auswirken.
- Unautorisierter Zugriff: Mit dem
accountDetailsErgebnis können Sie ermitteln, ob der Nutzer Ihre App oder Ihr Spiel bei Google Play installiert oder dafür bezahlt hat. - Codemanipulation: Mit dem Ergebnis
appIntegritykönnen Sie feststellen, ob Sie mit Ihrem unveränderten Binärprogramm in der Form interagieren, die Google Play bekannt ist. - Risikobehaftete Geräte und emulierte Umgebungen: Mit dem
deviceIntegrityErgebnis können Sie feststellen, ob Ihre App auf einem echten, Play Protect-zertifizierten Android-Gerät oder einer echten Instanz von Google Play Games auf dem PC ausgeführt wird. - Geräte ohne Patch: Bei Geräten mit Android 13 und höher können Sie mit der
MEETS_STRONG_INTEGRITYAntwort imdeviceIntegrityErgebnis feststellen, ob auf einem Gerät aktuelle Sicherheitsupdates installiert wurden. Sie können auchdeviceAttributesaktivieren, um die bestätigte Android SDK-Version in die Antwort aufzunehmen. - Risikoreicher Zugriff durch andere Apps:Mit dem
appAccessRiskVerdictkönnen Sie ermitteln, ob Apps ausgeführt werden, die möglicherweise den Bildschirm aufnehmen, Overlays einblenden oder das Gerät steuern können (z. B. durch Missbrauch der Bedienungshilfe-Berechtigung). Bei diesem Ergebnis werden Apps, die echten Bedienungshilfezwecken dienen, automatisch ausgeschlossen. - Bekannte Malware:Mit dem
playProtectVerdictkönnen Sie prüfen, ob Google Play Protect aktiviert ist und ob auf dem Gerät installierte Apps gefunden wurden, die als riskant oder gefährlich eingestuft werden. - Hyperaktivität:Mit der Ebene „recentDeviceActivity“ können Sie feststellen, ob ein Gerät in letzter Zeit eine ungewöhnlich hohe Anzahl von Anfragen für Integritätstokens gesendet hat. Dies könnte auf automatisierten Traffic hindeuten und ein Zeichen für einen Angriff sein.
- Wiederholter Missbrauch und wiederverwendete Geräte:Mit
deviceRecall(Beta) können Sie feststellen, ob Sie mit einem Gerät interagieren, das Sie zuvor gekennzeichnet haben, auch wenn Ihre App neu installiert oder das Gerät zurückgesetzt wurde. Mit „deviceRecall“ können Sie die wiederholten Aktionen anpassen, die Sie verfolgen möchten.
Die API kann für alle Android-Formfaktoren verwendet werden, einschließlich Smartphones, Tablets, Foldables, Android Auto, Android TV, Android XR, ChromeOS, Wear OS und Google Play Games auf dem PC.
Die Play Integrity API optimal nutzen
Apps und Spiele waren mit der Play Integrity API erfolgreich, indem sie die Sicherheitsempfehlungen befolgten und einen schrittweisen Ansatz für ihre Strategie zur Missbrauchsbekämpfung wählten.
Schritt 1: Entscheiden Sie, was Sie schützen möchten: Legen Sie fest, welche Aktionen und Serveranfragen in Ihren Apps und Spielen wichtig sind, um sie zu überprüfen und zu schützen. Sie können beispielsweise Integritätsprüfungen durchführen, wenn ein Nutzer die App startet, sich anmeldet, einem Mehrspielerspiel beitritt, KI-Inhalte generiert oder Geld überweist.
Schritt 2: Antworten auf Integritätsergebnisse erfassen: Führen Sie an wichtigen Stellen Integritätsprüfungen durch, um Ergebnisdaten zu erfassen, ohne die Durchsetzung zunächst zu erzwingen. So können Sie die Antworten für Ihre Installationsbasis analysieren und sehen, wie sie mit Ihren bestehenden Missbrauchssignalen und historischen Missbrauchsdaten korrelieren.
Schritt 3: Durchsetzungsstrategie festlegen: Legen Sie Ihre Durchsetzungsstrategie basierend auf Ihrer Analyse der Antworten und dem fest, was Sie schützen möchten. Sie können beispielsweise risikoreichen Traffic an wichtigen Stellen ändern, um sensible Funktionen zu schützen. Die API bietet eine Reihe von Antworten, sodass Sie eine mehrstufige Durchsetzungsstrategie implementieren können, die auf dem Vertrauensniveau basiert, das Sie jeder Kombination von Antworten zuweisen.
Schritt 4: Durchsetzung schrittweise einführen und Nutzer unterstützen:Führen Sie die Durchsetzung schrittweise ein. Entwickeln Sie eine Strategie für Wiederholungsversuche, wenn es Probleme mit Ergebnissen gibt oder diese nicht verfügbar sind, und unterstützen Sie Nutzer, die Probleme haben. Mit den neuen In-App-Aufforderungen zur Fehlerbehebung in Google Play, die unten beschrieben werden, können Sie Nutzern mit Problemen einfacher als je zuvor helfen, wieder einen guten Zustand zu erreichen.
NEU: Google Play kann Nutzern mit Problemen automatisch helfen
Es kann komplex sein, zu entscheiden, wie auf verschiedene Integritätssignale reagiert werden soll. Sie müssen verschiedene Integritätsantworten und API-Fehlercodes verarbeiten (z. B. Netzwerkprobleme oder veraltete Play-Dienste). Wir vereinfachen dies mit neuen In-App-Aufforderungen zur Fehlerbehebung in Google Play. Sie können Ihren Nutzern eine Google Play-Aufforderung präsentieren, um eine Vielzahl von Problemen direkt in Ihrer App automatisch zu beheben. Dadurch wird die Integration vereinfacht, eine einheitliche Benutzeroberfläche gewährleistet und mehr Nutzern geholfen, wieder einen guten Zustand zu erreichen.
GET_INTEGRITY erkennt das Problem automatisch (in diesem Beispiel ein Netzwerkfehler) und behebt es.
Sie können das GET_INTEGRITY-Dialogfeld, das in der Play Integrity API-Bibliothek ab Version 1.5.0 verfügbar ist, nach einer Reihe von Problemen auslösen, um den Nutzer automatisch durch die erforderlichen Korrekturen zu führen, darunter:
- Unautorisierter Zugriff: GET_INTEGRITY führt den Nutzer zurück zu einer lizenzierten Play-Antwort in „accountDetails“.
- Codemanipulation:GET_INTEGRITY führt den Nutzer zurück zu einer von Google Play erkannten Antwort in „appIntegrity“.
- Probleme mit der Geräteintegrität:GET_INTEGRITY führt den Nutzer zurück zum Status „MEETS_DEVICE_INTEGRITY“ in
deviceIntegrity. - Behebbare Fehlercodes:GET_INTEGRITY behebt behebbare API-Fehler, z. B. indem der Nutzer aufgefordert wird, die Netzwerkverbindung zu korrigieren oder die Google Play-Dienste zu aktualisieren.
Wir bieten auch spezielle Dialogfelder wie GET_STRONG_INTEGRITY (funktioniert wie GET_INTEGRITY, führt den Nutzer aber auch zurück zum Status „MEETS_STRONG_INTEGRITY“ ohne bekannte Malware-Probleme im playProtectVerdict), GET_LICENSED (führt den Nutzer zurück zu einem von Google Play lizenzierten und erkannten Status) sowie CLOSE_UNKNOWN_ACCESS_RISK und CLOSE_ALL_ACCESS_RISK (fordern den Nutzer auf, potenziell riskante Apps zu schließen).
Moderne Integritätslösungen auswählen
Neben der Play Integrity API bietet Google mehrere andere Funktionen, die Sie im Rahmen Ihrer allgemeinen Strategie zur Missbrauchsbekämpfung in Betracht ziehen können. Sowohl die Play Integrity API als auch der automatische Schutz von Google Play bieten Vorteile für Nutzer und Entwickler, um die App-Verteilung zu schützen. Wir empfehlen, vorhandene Apps auf diese modernen Integritätslösungen zu migrieren, anstatt die ältere Play-Lizenzierungsbibliothek zu verwenden.
Automatischer Schutz: Verhindern Sie unbefugten Zugriff mit dem automatischen Schutz von Google Play und sorgen Sie dafür, dass Nutzer weiterhin die offiziellen App-Updates erhalten. Aktivieren Sie die Funktion und Google Play fügt dem Code Ihrer App automatisch eine Installationsprüfung hinzu. Es sind keine Entwicklerarbeiten erforderlich. Wenn Ihre geschützte App über einen anderen Kanal weitergegeben oder geteilt wird, wird der Nutzer aufgefordert, sie bei Google Play herunterzuladen. Berechtigte Play-Entwickler haben auch Zugriff auf den erweiterten Manipulationsschutz von Google Play, der Verschleierung und Laufzeitprüfungen verwendet, um es Angreifern zu erschweren und teurer zu machen, geschützte Apps zu ändern und weiterzugeben.
Android-Plattformschlüsselbestätigung : Die Play Integrity API ist die empfohlene Methode, um die hardwaregestützte Android-Plattformschlüsselbestätigung zu nutzen. Die Play Integrity API kümmert sich um die zugrunde liegende Implementierung im gesamten Geräteökosystem. Google Play behebt automatisch Probleme und Ausfälle im Zusammenhang mit Schlüsseln und Sie können die API verwenden, um andere Bedrohungen zu erkennen. Entwickler, die die Schlüsselbestätigung direkt implementieren, anstatt sich auf die Play Integrity API zu verlassen, sollten sich auf die bevorstehende Rotation des Android-Plattform-Rootzertifikats im Februar 2026 vorbereiten, um Unterbrechungen zu vermeiden. Entwickler, die die Play Integrity API verwenden, müssen nichts weiter tun.
Firebase App Check: Entwickler, die Firebase verwenden, können Firebase App Check nutzen, um ein Ergebnis zur App- und Geräteintegrität zu erhalten, das von der Play Integrity API auf zertifizierten Android-Geräten bereitgestellt wird, sowie Antworten von anderen Anbietern von Plattformbestätigungen. Wenn Sie alle anderen Bedrohungen erkennen und andere Play-Funktionen nutzen möchten, integrieren Sie die Play Integrity API direkt.
reCAPTCHA Enterprise: Unternehmenskunden, die eine umfassende Lösung für Betrugs- und Bot-Management suchen, können reCAPTCHA Enterprise für Mobilgeräte erwerben. reCAPTCHA Enterprise verwendet einige der Anti-Missbrauchssignale der Play Integrity API und kombiniert sie sofort mit reCAPTCHA-Signalen.
Schützen Sie Ihr Unternehmen noch heute
Mit einer starken Grundlage in der hardwaregestützten Sicherheit und neuen automatisierten Dialogfeldern zur Fehlerbehebung, die die Integration vereinfachen, ist die Play Integrity API ein wichtiges Tool, um Ihr Wachstum zu schützen.
Weitere Informationen finden Sie in der Dokumentation zur Play Integrity API.
-
ProduktneuheitenIm März haben wir Android Bench eingeführt, unsere Bestenliste für LLMs für Android-Entwicklungsaufgaben in der Praxis. Seitdem haben wir den Benchmark anhand Ihres Feedbacks verbessert, einschließlich der Bewertung von Modellen mit offenen Gewichten und der Hinzufügung von Kosten- und Effizienzkriterien zur Bestenliste.
Zoe Lopez-Latorre • 3 Minuten Lesezeit -
ProduktneuheitenBei Google Play ist es uns wichtig, Nutzerinnen und Nutzern die bestmögliche Nutzerfreundlichkeit zu bieten. Gleichzeitig möchten wir dafür sorgen, dass Entwicklerinnen und Entwickler die notwendigen Tools und die Flexibilität haben, um erfolgreich zu sein.
Paul Feng • 3 Minuten Lesezeit -
ProduktneuheitenLetztes Jahr haben wir die Android-Entwicklerbestätigung eingeführt, um die Sicherheit des Ökosystems zu erhöhen und zu verhindern, dass böswillige Akteure sich hinter der Anonymität verstecken, um schädliche Apps zu veröffentlichen.
Matthew Forsythe • 2 Minuten Lesezeit
Lassen Sie sich Woche für Woche die neuesten Informationen zur Android-Entwicklung zusenden.