W ekosystemie mobilnym nadużycia mogą zagrażać Twoim przychodom, rozwojowi i zaufaniu użytkowników. Aby pomóc deweloperom w rozwoju, Google Play oferuje odporną na zagrożenia usługę wykrywania zagrożeń – Play Integrity API. Interfejs Play Integrity API pomaga sprawdzać, czy interakcje i żądania serwera są autentyczne – pochodzą z niezmodyfikowanej aplikacji zainstalowanej z Google Play na certyfikowanym urządzeniu z Androidem.

Wpływ jest znaczący: aplikacje korzystające z funkcji integralności w Google Play odnotowują średnio o 80% mniej nieautoryzowanego użycia w porównaniu z innymi aplikacjami. Obecnie liderzy z różnych kategorii, m.in. Uber, TikTok, Stripe, Kabam, Wooga, Radar.com, Zimperium, Paytm i Remini, używają go do ochrony swoich firm.

Stale ulepszamy interfejs Play Integrity API, aby ułatwić jego integrację, zwiększyć odporność na zaawansowane ataki i poprawić odzyskiwanie użytkowników, którzy nie spełniają standardów integralności lub napotykają błędy związane z nowymi prośbami o działania naprawcze w aplikacji w Google Play.

Wykrywanie zagrożeń dla Twojej firmy

Interfejs Play Integrity API oferuje oceny zaprojektowane do wykrywania konkretnych zagrożeń, które mają wpływ na Twoje wyniki finansowe podczas krytycznych interakcji.

• Nieautoryzowany dostęp: wynik accountDetails pomaga określić, czy użytkownik zainstalował Twoją aplikację lub grę w Google Play lub za nią zapłacił.
• Modyfikacja kodu: ocena appIntegrity pomaga określić, czy używasz niezmodyfikowanego pliku binarnego rozpoznawanego przez Google Play.
• Urządzenia stanowiące ryzyko i środowiska emulowane: ocena deviceIntegrity pomaga określić, czy aplikacja działa na oryginalnym certyfikowanym urządzeniu z Androidem z Google Play Protect lub oryginalnym wystąpieniu Gier Google Play na PC.
• Urządzenia bez poprawek: w przypadku urządzeń z Androidem 13 lub nowszym odpowiedź MEETS_STRONG_INTEGRITY w ocenie deviceIntegrity pomaga określić, czy na urządzeniu zastosowano najnowsze aktualizacje zabezpieczeń. Możesz też wyrazić zgodę na deviceAttributes, aby uwzględnić w odpowiedzi potwierdzoną wersję pakietu Android SDK.
• Ryzykowny dostęp innych aplikacji: appAccessRiskVerdict pomaga określić, czy uruchomione są aplikacje, które mogą przechwytywać ekran, wyświetlać nakładki lub sterować urządzeniem (np. przez niewłaściwe wykorzystanie uprawnień ułatwień dostępu). Ta ocena automatycznie wyklucza aplikacje, które służą do ułatwień dostępu.
• Znane złośliwe oprogramowanie: ocena playProtectVerdict pomaga określić, czy usługa Google Play Protect jest włączona i czy wykryła zainstalowane na urządzeniu stwarzające ryzyko lub niebezpieczne aplikacje.
• Nadaktywność: poziom recentDeviceActivity pomaga określić, czy urządzenie wysłało ostatnio anomalnie dużą liczbę żądań tokenów integralności, co może wskazywać na zautomatyzowany ruch i być oznaką ataku.
• Powtarzające się nadużycia i ponownie używane urządzenia: funkcja deviceRecall (wersja beta) pomaga określić, czy korzystasz z urządzenia, które zostało wcześniej przez Ciebie oznaczone, nawet jeśli aplikacja została ponownie zainstalowana lub urządzenie zostało zresetowane. Dzięki funkcji zapamiętania urządzenia możesz dostosować powtarzające się działania, które chcesz śledzić.

Interfejsu API można używać na urządzeniach z Androidem, w tym na telefonach, tabletach, urządzeniach składanych, Androidzie Auto, Androidzie TV, Androidzie XR, ChromeOS, Wear OS i w Grach Google Play na PC.

Wykorzystaj w pełni interfejs Play Integrity API

Aplikacje i gry odniosły sukces dzięki interfejsowi Play Integrity API, ponieważ uwzględniły kwestie bezpieczeństwa i przyjęły stopniowe podejście do strategii przeciwdziałania nadużyciom.

Krok 1. Zdecyduj, co chcesz chronić: określ, które działania i żądania serwera w Twoich aplikacjach i grach są ważne do zweryfikowania i ochrony. Możesz na przykład przeprowadzać kontrole integralności, gdy użytkownik uruchamia aplikację, loguje się, dołącza do gry wieloosobowej, generuje treści AI lub przesyła pieniądze.

Krok 2. Zbieraj odpowiedzi dotyczące integralności: przeprowadzaj kontrole integralności w ważnych momentach, aby zacząć zbierać dane dotyczące ocen, bez początkowego egzekwowania zasad. Dzięki temu możesz analizować odpowiedzi dotyczące bazy instalacji i sprawdzać, jak korelują one z dotychczasowymi sygnałami nadużyć i historycznymi danymi o nadużyciach.

Krok 3. Określ strategię egzekwowania zasad: określ strategię egzekwowania zasad na podstawie analizy odpowiedzi i tego, co chcesz chronić. Możesz na przykład zmieniać ryzykowny ruch w ważnych momentach, aby chronić wrażliwe funkcje. Interfejs API oferuje szereg odpowiedzi, dzięki czemu możesz wdrożyć wielopoziomową strategię egzekwowania zasad na podstawie poziomu zaufania, jaki przyznajesz każdej kombinacji odpowiedzi.

Krok 4. Stopniowo wdrażaj egzekwowanie zasad i wspieraj użytkowników: stopniowo wdrażaj egzekwowanie zasad. Przygotuj strategię ponawiania prób, gdy oceny mają problemy lub są niedostępne, i bądź gotowy na pomoc użytkownikom, którzy mają problemy. Nowe prośby o działania naprawcze w aplikacji w Google Play, opisane poniżej, ułatwiają przywracanie użytkowników do prawidłowego stanu.

NOWOŚĆ: pozwól Google Play automatycznie odzyskiwać użytkowników, którzy mają problemy

Decydowanie o tym, jak reagować na różne sygnały integralności, może być skomplikowane. Musisz obsługiwać różne odpowiedzi dotyczące integralności i kody błędów interfejsu API (np. problemy z siecią lub nieaktualne usługi Google Play). Upraszczamy to dzięki nowym prośbom o działania naprawcze w aplikacji w Google Play. Możesz wyświetlać użytkownikom prośbę Google Play, aby automatycznie rozwiązywać wiele problemów bezpośrednio w aplikacji. Zmniejsza to złożoność integracji, zapewnia spójny interfejs użytkownika i pomaga przywrócić więcej użytkowników do prawidłowego stanu.

GET_INTEGRITY automatycznie wykrywa problem (w tym przykładzie błąd sieci) i go rozwiązuje.

Po wystąpieniu różnych problemów możesz wywołać okno GET_INTEGRITY dostępne w bibliotece Play Integrity API w wersji 1.5.0 lub nowszej, aby automatycznie przeprowadzić użytkownika przez niezbędne poprawki, w tym:

• Nieautoryzowany dostęp: GET_INTEGRITY kieruje użytkownika z powrotem do odpowiedzi z licencją Google Play w accountDetails.
• Modyfikacja kodu: GET_INTEGRITY kieruje użytkownika z powrotem do odpowiedzi rozpoznawanej przez Google Play w appIntegrity.
• Problemy z integralnością urządzenia: GET_INTEGRITY informuje użytkownika, jak wrócić do stanu MEETS_DEVICE_INTEGRITY w deviceIntegrity.
• Kody błędów, które można naprawić: GET_INTEGRITY rozwiązuje błędy interfejsu API, które można naprawić, np. prosi użytkownika o naprawienie połączenia sieciowego lub zaktualizowanie Usług Google Play.

Oferujemy też specjalne okna, w tym GET_STRONG_INTEGRITY (które działa jak GET_INTEGRITY, a jednocześnie przywraca użytkownika do stanu MEETS_STRONG_INTEGRITY bez znanych problemów ze złośliwym oprogramowaniem w playProtectVerdict), GET_LICENSED (które przywraca użytkownika do stanu z licencją Google Play i rozpoznawanego przez Google Play) oraz CLOSE_UNKNOWN_ACCESS_RISK i CLOSE_ALL_ACCESS_RISK (które proszą użytkownika o zamknięcie potencjalnie ryzykownych aplikacji).

Wybierz nowoczesne rozwiązania dotyczące integralności

Oprócz interfejsu Play Integrity API Google oferuje kilka innych funkcji, które warto wziąć pod uwagę w ramach ogólnej strategii przeciwdziałania nadużyciom. Zarówno interfejs Play Integrity API, jak i automatyczna ochrona w Google Play zapewniają użytkownikom i deweloperom korzyści związane z ochroną dystrybucji aplikacji. Zachęcamy, aby istniejące aplikacje migrowały do tych nowoczesnych rozwiązań dotyczących integralności zamiast korzystać z starszej biblioteki licencjonowania w Google Play.

Automatyczna ochrona: zapobiegaj nieautoryzowanemu dostępowi dzięki automatycznej ochronie w Google Play i zapewnij użytkownikom dostęp do oficjalnych aktualizacji aplikacji. Włącz ją, a Google Play automatycznie doda do kodu aplikacji sprawdzenie instalatora bez konieczności integracji przez dewelopera. Jeśli Twoja chroniona aplikacja zostanie rozpowszechniona lub udostępniona za pomocą innego kanału, użytkownik zobaczy prośbę o pobranie jej z Google Play. Kwalifikujący się deweloperzy w Google Play mają też dostęp do zaawansowanej ochrony przed nieuprawnionymi modyfikacjami w Google Play, która wykorzystuje zaciemnianie kodu i weryfikacje w czasie działania, aby utrudnić i zwiększyć koszty modyfikowania i rozpowszechniania chronionych aplikacji przez osoby atakujące.

Potwierdzanie klucza platformy Android:  interfejs Play Integrity API to zalecany sposób korzystania z potwierdzania klucza platformy Android opartego na sprzęcie. Interfejs Play Integrity API dba o podstawową implementację w ekosystemie urządzeń, Google Play automatycznie łagodzi problemy i awarie związane z kluczami, a Ty możesz używać interfejsu API do wykrywania innych zagrożeń. Deweloperzy, którzy bezpośrednio implementują atestację kluczy zamiast korzystać z interfejsu Play Integrity API, powinni przygotować się na nadchodzącą rotację certyfikatu głównego platformy Androida w lutym 2026 r., aby uniknąć zakłóceń działania (deweloperzy korzystający z interfejsu Play Integrity API nie muszą podejmować żadnych działań).

Sprawdzanie aplikacji Firebase: deweloperzy korzystający z Firebase mogą używać sprawdzania aplikacji Firebase, aby otrzymywać ocenę integralności aplikacji i urządzenia opartą na interfejsie Play Integrity API na certyfikowanych urządzeniach z Androidem, a także odpowiedzi od innych dostawców potwierdzania platformy. Aby wykrywać wszystkie inne zagrożenia i korzystać z innych funkcji Google Play, zintegruj bezpośrednio interfejs Play Integrity API.

reCAPTCHA Enterprise: klienci korporacyjni, którzy szukają kompleksowego rozwiązania do zarządzania oszustwami i botami, mogą kupić reCAPTCHA Enterprise na urządzenia mobilne. reCAPTCHA Enterprise używa niektórych sygnałów przeciwdziałania nadużyciom z interfejsu Play Integrity API i łączy je z sygnałami reCAPTCHA.

Chroń swoją firmę

Dzięki solidnym podstawom w zakresie zabezpieczeń opartych na sprzęcie i nowym zautomatyzowanym oknom działań naprawczych, które upraszczają integrację, interfejs Play Integrity API jest niezbędnym narzędziem do ochrony Twojego rozwoju.

Zacznij korzystać z dokumentacji interfejsu Play Integrity API.