Play Integrity API: Early Access-Programm (EAP) für Kontoaktivitäten

UNEVALUATED

Mit dem neuen Signal „Google Play-Kontoaktivität“ in der Play Integrity API können Sie eine effektivere und differenziertere Strategie zum Schutz vor Missbrauch entwickeln. Die Kontoaktivitäten werden durch Stufen dargestellt, die auf der Anwesenheit und dem Umfang der Aktivitäten im Play Store und dem Alter der Konten auf dem Gerät basieren. Bei der Auswertung wird für die aktuelle Nutzersitzung ein Kontoaktivitätslevel zurückgegeben, das nicht mit Nutzer- oder Geräte-IDs verknüpft ist.

Was sind Play-Kontoaktivitäten?

Die Play Integrity API bietet eine Reihe von Integritätssignalen, mit denen App- und Spieleentwickler potenziell riskante und betrügerische Zugriffe erkennen können. Entwickler in diesem Early-Access-Programm können ihrer API-Antwort Kontoaktivitäten hinzufügen, die bereits die Geräte-, Anwendungs- und Kontolizenzentscheidungen enthalten. Wenn Probleme mit den Geräte-, Anwendungs- oder Lizenzentscheidungen auftreten, werden die Kontoaktivitäten nicht bewertet. Wenn die vorhandenen Entscheidungen keine Probleme aufweisen, wird für die Kontoaktivität ein Level zurückgegeben. Das Level wird anhand der Anwesenheit und des Umfangs der Aktivitäten im Store und dem Alter der Konten auf dem Gerät bestimmt. Anhand des Levels kann Ihre App zwischen wahrscheinlich echten Nutzern und wahrscheinlich nicht echtem Traffic unterscheiden, z. B. Konten, die für Betrug verwendet werden, Konten, die für automatisierte Zugriffe verwendet werden, oder Konten, die in Gerätefarmen verwendet werden. Ihre App kann dieses Signal zusammen mit anderen verwenden, um Aktionen mit hohem Wert oder sensible Aktionen zu schützen.

Apps, die am Early Access-Programm (EAP) teilnehmen, können für die aktuelle Nutzersitzung eine der folgenden Kontoaktivitätsstufen erhalten:

  • UNEVALUATED: Die Kontoaktivität wird nicht ausgewertet, weil das Gerät nicht vertrauenswürdig ist oder der Nutzer keine Play App-Lizenz hat.
  • UNUSUAL: Die Google Play Store-Aktivitäten sind für mindestens eines der Nutzerkonten auf dem Gerät ungewöhnlich. Google Play empfiehlt, zu prüfen, ob es sich um einen echten Nutzer handelt.
  • UNKNOWN: Google Play hat nicht genügend Store-Aktivitäten für das Nutzerkonto auf dem Gerät. Das Konto ist möglicherweise neu oder es gibt keine Aktivitäten bei Google Play.
  • TYPICAL (BASIC): Die Google Play Store-Aktivitäten sind für das Nutzerkonto oder die Nutzerkonten auf dem Gerät typisch.
  • TYPICAL (STRONG): Die Google Play Store-Aktivitäten sind typisch für das Nutzerkonto oder die Nutzerkonten auf dem Gerät. Diese Signale sind schwieriger zu reproduzieren.

Kontoaktivitäten als Teil einer Strategie zum Schutz vor Missbrauch verwenden

Kontoaktivitäten funktionieren am besten, wenn sie zusammen mit anderen Signalen als Teil Ihrer allgemeinen Strategie zum Schutz vor Missbrauch verwendet werden und nicht als alleiniger Mechanismus. Verwenden Sie dieses Signal und die Play Integrity API in Verbindung mit anderen geeigneten Best Practices für die Sicherheit für Ihre App.

Telemetriedaten erfassen und die Zielgruppe analysieren, bevor Sie Maßnahmen ergreifen

Bevor Sie die Funktionalität basierend auf Kontoaktivitäten oder anderen Play Integrity API-Ergebnissen ändern, implementieren Sie die API ohne Erzwingung, um die aktuelle Situation mit Ihren bestehenden Zielgruppen zu verstehen. Sobald Sie wissen, welche Umsätze Sie mit Ihrer aktuellen Installationsbasis erzielen, können Sie die Auswirkungen der geplanten Maßnahmen abschätzen und Ihre Strategie zum Schutz vor Missbrauch entsprechend anpassen.

Risikoreiche Zugriffe auf wertvolle oder sensible Funktionen überprüfen

Sie können wertvolle oder vertrauliche Aktionen in Ihrer App oder Ihrem Spiel identifizieren, die mit der Play Integrity API geschützt werden sollen, anstatt den Zugriff auf Ihre App oder Ihr Spiel vollständig zu verweigern. Prüfen Sie nach Möglichkeit riskante Zugriffe, bevor Sie Aktionen mit hohem Wert zulassen. Wenn die Kontoaktivitätsebene beispielsweise UNUSUAL ist, können Sie einen zweiten Bestätigungsmechanismus verlangen, bevor der Nutzer die geschützte Aktion ausführen kann.

Nutzersupport planen

Falls möglich, sollten Sie Nutzern informative Fehlermeldungen zur Problembehebung bereitstellen. Sie können sie beispielsweise bitten, es noch einmal zu versuchen, ihre Internetverbindung zu aktivieren oder zu prüfen, ob die Google Play Store App auf dem neuesten Stand ist. Die Bewertungen der Kontoaktivitäten werden von Google Play regelmäßig aktualisiert. Neue Store-Aktivitäten können den Level eines Nutzers bei diesen regelmäßigen Aktualisierungen automatisch ändern.

Befolgen Sie die bestehenden Empfehlungen für die Play Integrity API.

Zusätzlich zu den oben genannten Praktiken sollten Sie sich die Sicherheitshinweise für die Play Integrity API durchlesen.

Vorabzugriff auf die Kontoaktivität der Play Integrity API erhalten

So verwenden Sie das Signal „Kontoaktivität“:

Schritt 1: Wichtige Überlegungen durchgehen

  • Die Funktion „Kontoaktivitäten“ befindet sich in der Entwicklungsphase und kann sich ändern.
  • Kontoaktivitäten sind weiterhin vertraulich. Geben Sie keine Informationen zur Kontoaktivität oder zu den Aktivitätsstufen von Konten an Endnutzer weiter.
  • Wenn Sie die Kontoaktivität verwenden, stimmen Sie den Bedingungen in der Vertriebsvereinbarung für Google Play-Entwickler und den Nutzungsbedingungen für die Play Integrity API zu.
  • Entwickler, die am Early Access-Programm teilnehmen, müssen das Signal für Kontoaktivitäten bewerten und Google Play Feedback und Informationen zum Ergebnis ihrer Bewertung geben, bevor sie ihre Durchsetzungsstrategie ändern.

Schritt 2: Teilnahme am Play Integrity API-Early Access-Programm für Kontoaktivitäten beantragen

Entwickler, die am Google Play-Partnerprogramm für Spiele teilnehmen, haben automatisch Zugriff auf die EAP-Aktivitäten des Kontos und können mit Schritt 3 fortfahren.

Andere Entwickler können ihr Interesse am Early-Access-Programm bekunden, indem sie eine E-Mail mit den folgenden Informationen an integrity-api-eap@google.com senden:

  • Paketname und Entwicklerkonto-ID
  • Bestätigung, dass Sie die empfohlenen Praktiken für Kontoaktivitäten gelesen haben
  • Wie Sie die Kontoaktivitäten auswerten möchten und wie Sie die Kontoaktivitäten voraussichtlich verwenden möchten, falls Sie bereits eine Idee haben.
  • Sobald Sie in das Vorabzugriffsprogramm für das Signal „Kontoaktivität“ aufgenommen wurden, ist der Ablauf so:

Derzeit nehmen wir nur Entwickler mit einwandfreien Konten auf, die bei Google Play hohe Leistungsgrenzwerte erreichen.

Schritt 3: Kontoaktivität in der Integrity API-Antwort in der Google Play Console aktivieren

Sobald Sie in das Vorabzugriffsprogramm aufgenommen wurden, wird in der Play Console auf der Seite „Integrity API“ eine neue Option angezeigt, mit der Sie Kontoaktivitäten in Ihre Play Integrity API-Antwort aufnehmen können. Aktivieren Sie in der Play Console die Kontoaktivität:

  1. Melden Sie sich in der Play Console an.
  2. Wählen Sie die App aus, für die Kontoaktivitäten verwendet werden sollen.
  3. Klicken Sie im Menü auf der linken Seite im Bereich Release auf App-Integrität.
  4. Klicken Sie neben Play Integrity API auf Einstellungen.
  5. Klicken Sie auf der Seite im Abschnitt Antworten neben Kontoaktivität auf Aktivieren.
  6. Klicken Sie im angezeigten Fenster auf Aktivieren.

Wenn Sie die Kontoaktivität aktivieren oder deaktivieren, werden alle Play Integrity API-Testantworten gelöscht, die Sie in der Play Console eingerichtet haben. Sie müssen sie dann neu erstellen.

Schritt 4: Integrity API in Ihre App und den Back-End-Server Ihrer App einbinden

Folgen Sie der Dokumentation, um die Integrity API von Google Play in Ihre App und den Backend-Server Ihrer App einzubinden, falls Sie dies noch nicht getan haben.

Schritt 5: Mit Kontoaktivitäten arbeiten

Nach der Aktivierung enthält das Feld accountDetails im Play Integrity API-Payload das neue Signal „Kontoaktivität“, das die Aktivität darstellt, die mit den Nutzerkonten auf dem Gerät verknüpft ist.

accountDetails: {
  // Represents the licensing status of the user session.
  // This field can be LICENSED, UNLICENSED, or UNEVALUATED.
  appLicensingVerdict: "LICENSED"

  // Represents the activity level associated with the user accounts on
  // the device of the user session.
  accountActivity: {
     // This field can be UNEVALUATED, UNUSUAL,
     // UNKNOWN, TYPICAL_BASIC, TYPICAL_STRONG
     activityLevel: "UNUSUAL"
  }
}

accountActivity kann die folgenden Werte haben:

UNUSUAL
Die Google Play Store-Aktivitäten sind für mindestens eines der Nutzerkonten auf dem Gerät ungewöhnlich.
UNBEKANNT
Google Play hat nicht genügend Store-Aktivitäten für das Nutzerkonto auf dem Gerät. Das Konto ist möglicherweise neu oder es gibt keine Aktivitäten bei Google Play.
LÄUFT NORMAL (BASIC)
Die Google Play Store-Aktivitäten sind für das Nutzerkonto oder die Nutzerkonten auf dem Gerät typisch.
TYPISCH (STARK)
Die Aktivitäten im Google Play Store sind typisch für das Nutzerkonto oder die Nutzerkonten auf dem Gerät. Die Signale sind schwerer zu reproduzieren.
UNEVALUATED

Die Kontoaktivität wird nicht geprüft, da eine erforderliche Voraussetzung nicht erfüllt wurde.

Dafür kann es verschiedene Gründe geben:

  • Das Gerät ist nicht vertrauenswürdig genug.
  • Die Version der aktuell auf dem Gerät installierten App ist Google Play nicht bekannt.
  • Der Nutzer ist nicht bei Google Play angemeldet.
  • Der Nutzer hat nicht die erforderliche Lizenz für den Zugriff auf die App.

Prüfen Sie, ob die Nutzerkonten auf dem Gerät ungewöhnliche Kontoaktivitäten aufweisen. Sehen Sie dazu nach, ob die accountActivity.activityLevel wie erwartet ist, wie im folgenden Code-Snippet dargestellt:

Kotlin

val requestDetails = JSONObject(payload).getJSONObject("accountDetails")
val accountActivity = requestDetails.getJSONObject("accountActivity")
val activityLevel = accountActivity.getString("activityLevel")

if (activityLevel == "UNUSUAL") {
    // One of the accounts is UNUSUAL! Be careful.
}

Java

JSONObject requestDetails =
    new JSONObject(payload).getJSONObject("accountDetails");
JSONObject accountActivity =
    new JSONObject(requestDetails).getJSONObject("accountActivity");
String activityLevel = accountActivity.getString("activityLevel");

if (activityLevel == "UNUSUAL") {
    // One of the accounts is UNUSUAL! Be careful.
}

Schritt 6: Integration mit Kontoaktivitäten testen

Mit der Play Integrity API-Testfunktion können Sie Tests erstellen, um zu prüfen, wie die Kontoaktivitätsstufen aus der Play Integrity API mit Ihrer App interagieren. Eine Anleitung zur Verwendung dieser Testfunktion finden Sie in der Play Console-Hilfe.

Schritt 7: Feedback zum Early Access an Google Play senden

Wir möchten, dass die Teilnehmer am Early Access-Programm Feedback zu Kontoaktivitäten geben. Wenn Sie uns Feedback geben möchten, senden Sie eine E-Mail an integrity-api-eap@google.com. Unser Entwicklerteam wird sich auch mit Ihnen in Verbindung setzen, um Interviews zu vereinbaren. Wir möchten Folgendes wissen:

  • Inwiefern stimmt das Aktivitätslevel des Kontos mit bekannten missbräuchlichen Konten für Ihre App oder Ihr Spiel überein?
  • Entspricht die Zielgruppenverteilung der Kontoaktivitäten und anderer Play Integrity API-Urteile Ihren Erwartungen?
  • Welche Missbrauchsprobleme möchten Sie mithilfe von Kontoaktivitäten und anderen Play Integrity API-Ergebnissen lösen?
  • Welche Funktionen möchten Sie basierend auf Kontoaktivitäten und anderen Play Integrity API-Bewertungen ändern?

Weitere Play Integrity-Tools

Sie können auch diese anderen Tools zum Schutz der Integrität als Teil Ihrer Strategie zum Schutz vor Missbrauch verwenden: