Play Integrity API: Early Access-Programm (EAP) für Kontoaktivitäten

Erstelle mit der Play-Kontoaktivität, einem neuen Signal in der Play Integrity API, eine effektivere und differenziertere Strategie gegen Missbrauch. Die Kontoaktivität wird in Stufen dargestellt, die auf der Präsenz und dem Umfang der Aktivitäten im Play Store sowie auf dem Alter der Konten auf dem Gerät basieren. Dabei wird eine Kontoaktivitätsebene für die aktuelle Nutzersitzung zurückgegeben und ist nicht mit Nutzer- oder Gerätekennungen verknüpft.

Was sind Google Play-Kontoaktivitäten?

Die Play Integrity API bietet eine Sammlung von Integritätssignalen, mit denen App- und Spieleentwickler potenziell riskante und betrügerische Zugriffe erkennen können. Entwickler in diesem Early Access-Programm können ihrer API-Antwort, die bereits die Ergebnisse von Geräte-, Anwendungs- und Kontolizenzen enthält, Kontoaktivitäten hinzufügen. Wenn es Probleme mit dem Gerät, der App oder der Lizenz gibt, wird die Kontoaktivität nicht bewertet. Wenn die vorhandenen Ergebnisse fehlerfrei sind, wird für die Kontoaktivität ein Wert zurückgegeben. Die Stufe wird anhand der Präsenz und des Umfangs der Aktivität im Geschäft sowie des Alters der Konten auf dem Gerät bestimmt. Das Level hilft deiner App, zwischen wahrscheinlich echten Nutzern und wahrscheinlich nicht echtem Traffic zu unterscheiden (z. B. Konten, die für Betrug verwendet werden, Konten für automatisierten Traffic oder Konten in Gerätefarmen). Ihre App kann dieses Signal zusammen mit anderen Signalen verwenden, um wichtige oder vertrauliche Aktionen zu schützen.

Am Early Access-Programm (EAP) teilnehmende Apps können für die aktuelle Nutzersitzung eine der folgenden Kontoaktivitätsstufen erhalten:

  • UNEVALUATED: Die Kontoaktivität wird nicht ausgewertet, da das Gerät nicht vertrauenswürdig ist oder der Nutzer keine Play-App-Lizenz hat.
  • UNUSUAL: Aktivitäten im Google Play Store sind für mindestens eines der Nutzerkonten auf dem Gerät ungewöhnlich. Google Play empfiehlt, zu prüfen, ob es sich um einen echten Nutzer handelt.
  • UNKNOWN: Google Play hat nicht genügend Store-Aktivitäten für das Nutzerkonto auf dem Gerät. Das Konto ist möglicherweise neu oder es gibt keine Aktivitäten bei Google Play.
  • TYPICAL (BASIC): Die Aktivitäten im Google Play Store sind typisch für die Nutzerkonten auf dem Gerät.
  • TYPICAL (STRONG): Aktivitäten im Google Play Store sind typisch für die Nutzerkonten auf dem Gerät. Es lassen sich Signale nur schwer replizieren.

Kontoaktivitäten als Teil einer Strategie zur Bekämpfung von Missbrauch verwenden

Kontoaktivitäten funktionieren am besten, wenn sie zusammen mit anderen Signalen im Rahmen Ihrer Gesamtstrategie zur Bekämpfung von Missbrauch verwendet werden und nicht als einziger Mechanismus gegen Missbrauch. Verwende dieses Signal und die Play Integrity API in Verbindung mit anderen geeigneten Best Practices für die Sicherheit für deine App.

Erfassen Sie Telemetriedaten und verstehen Sie Ihre Zielgruppe, bevor Sie Maßnahmen ergreifen.

Bevor du die Funktionalität auf Grundlage der Kontoaktivität oder anderer Play Integrity API-Ergebnisse änderst, implementiere die API ohne Erzwingung, um die aktuelle Situation bei deiner bestehenden Zielgruppe zu verstehen. Sobald du weißt, welche Stufen deine aktuelle Installationsbasis zurückkehrt, kannst du die Auswirkungen aller geplanten Maßnahmen abschätzen und deine Strategie zur Vermeidung von Missbrauch entsprechend anpassen.

Es könnte riskante Zugriffe beim Zugriff auf wichtige oder sensible Funktionen erfordern.

Identifizieren Sie wichtige oder sensible Aktionen in Ihrer App oder Ihrem Spiel, die Sie mit der Play Integrity API schützen möchten, anstatt den Zugriff auf Ihre App oder Ihr Spiel sofort zu verweigern. Überprüfen Sie nach Möglichkeit riskante Zugriffe, bevor Sie wichtige Aktionen zulassen. Wenn die Ebene der Kontoaktivität beispielsweise UNUSUAL ist, können Sie einen zweiten Bestätigungsmechanismus verlangen, bevor der Nutzer die schützende Aktion ausführen kann.

Nutzersupport einplanen

Wenn möglich, solltest du dem Nutzer hilfreiche Fehlermeldungen zur Verfügung stellen und ihm erklären, wie er das Problem beheben kann. Erkläre ihm z. B., wie er es noch einmal versuchen, seine Internetverbindung aktivieren oder prüfen kann, ob die Google Play Store App auf dem neuesten Stand ist. Bewertungen der Kontoaktivitäten werden regelmäßig von Google Play aktualisiert. Neue Store-Aktivitäten können das Level eines Nutzers während dieser regelmäßigen Aktualisierungen automatisch ändern.

Vorhandenen Empfehlungen für die Play Integrity API folgen

Zusätzlich zu den oben genannten Vorgehensweisen sollten Sie die Sicherheitsaspekte für die Play Integrity API lesen.

Vorabzugriff auf Kontoaktivitäten in der Play Integrity API erhalten

Führen Sie die folgenden Schritte aus, um die Kontoaktivität zu verwenden.

Schritt 1: Diese wichtigen Überlegungen noch einmal durchgehen

  • Die Kontoaktivität befindet sich in der aktiven Entwicklung und kann sich ändern.
  • Kontoaktivitäten werden weiterhin vertraulich behandelt. Geben Sie Informationen zu Kontoaktivitäten oder Kontoaktivitätsebenen nicht an Endnutzer weiter.
  • Wenn du Kontoaktivitäten nutzt, stimmst du den Bedingungen der Google Play-Vertriebsvereinbarung für Entwickler und den Nutzungsbedingungen der Play Integrity API zu.
  • Entwickler, die am Early Access-Programm teilnehmen, müssen das Signal zur Kontoaktivität auswerten und Google Play Feedback sowie Informationen zum Ergebnis ihrer Bewertung geben, bevor sie ihre Strategie zur Durchsetzung ändern.

Schritt 2: Teilnahme am EAP für die Play Integrity API-Kontoaktivität beantragen

Entwickler im Google Play-Partnerprogramm für Spiele haben automatisch Zugriff auf das EAP für Kontoaktivitäten und können mit Schritt 3 fortfahren.

Andere Entwickler können Interesse an der Teilnahme am Early Access-Programm bekunden, indem sie eine E-Mail mit den folgenden Informationen an integrity-api-eap@google.com senden:

  • Der Paketname und die Entwicklerkonto-ID.
  • Bestätigung, dass du die empfohlenen Vorgehensweisen für Kontoaktivitäten gelesen hast.
  • Wie Sie Kontoaktivitäten bewerten möchten und – falls Sie bereits eine Idee haben –, wie Sie Kontoaktivitäten verwenden möchten.
  • Der voraussichtliche Zeitrahmen nach der Aufnahme in das Early Access-Programm für Kontoaktivitäten.

Derzeit akzeptieren wir nur Entwickler, die die hohen Leistungsgrenzwerte bei Google Play erfüllen und deren Konten einwandfrei sind.

Schritt 3: Kontoaktivität in der Integrity API-Antwort über die Google Play Console aktivieren

Sobald Sie in das Early Access-Programm aufgenommen wurden, wird in der Play Console auf der Seite „Integrity API“ eine neue Option angezeigt, mit der Sie Kontoaktivitäten in Ihre Antwort der Play Integrity API aufnehmen können. Wenn Sie bereit sind, aktivieren Sie die Kontoaktivität in der Play Console:

  1. Melden Sie sich in der Play Console an.
  2. Wählen Sie die App aus, die Kontoaktivitäten verwenden soll.
  3. Gehen Sie im Abschnitt Release im Menü auf der linken Seite zu App-Integrität.
  4. Klicken Sie neben Play Integrity API auf Einstellungen.
  5. Klicken Sie im Abschnitt Antworten der Seite neben Kontoaktivität auf Aktivieren.
  6. Klicken Sie im eingeblendeten Fenster auf Aktivieren.

Wenn Sie die Kontoaktivität aktivieren oder deaktivieren, werden alle Play Integrity API-Testantworten, die Sie in der Play Console eingerichtet haben, gelöscht und müssen neu erstellt werden.

Schritt 4: Integrity API in Ihre App und den Backend-Server Ihrer App einbinden

Falls noch nicht geschehen, folgen Sie der Dokumentation, um die Play Integrity API in Ihre App und den Back-End-Server Ihrer App zu integrieren.

Schritt 5: Mit Kontoaktivitäten arbeiten

Nach der Aktivierung enthält das Feld accountDetails in der Play Integrity API-Nutzlast das neue Signal zur Kontoaktivität, das die Aktivität darstellt, die mit den Nutzerkonten auf dem Gerät verknüpft ist.

accountDetails: {
  // Represents the licensing status of the user session.
  // This field can be LICENSED, UNLICENSED, or UNEVALUATED.
  appLicensingVerdict: "LICENSED"

  // Represents the activity level associated with the user accounts on
  // the device of the user session.
  accountActivity: {
     // This field can be UNEVALUATED, UNUSUAL,
     // UNKNOWN, TYPICAL_BASIC, TYPICAL_STRONG
     activityLevel: "UNUSUAL"
  }
}

accountActivity kann die folgenden Werte haben:

Ungewöhnlich
Google Play Store-Aktivitäten sind für mindestens eines der Nutzerkonten auf dem Gerät ungewöhnlich.
UNBEKANNT
Bei Google Play liegen nicht genügend Store-Aktivitäten für das Nutzerkonto auf dem Gerät vor. Das Konto ist möglicherweise neu oder es gibt keine Aktivitäten bei Google Play.
TYPISCH (BASIC)
Aktivitäten im Google Play Store sind typisch für die Nutzerkonten auf dem Gerät.
Typisch (STARK)
Aktivitäten im Google Play Store sind typisch für das Nutzerkonto oder die Konten auf dem Gerät. Signale lassen sich nur schwer replizieren.
UNEVALUATED

Kontoaktivitäten werden nicht bewertet, da eine erforderliche Anforderung nicht erfüllt wurde.

Dafür kann es verschiedene Gründe geben:

  • Das Gerät ist nicht vertrauenswürdig genug.
  • Die Version der aktuell auf dem Gerät installierten App ist Google Play nicht bekannt.
  • Der Nutzer ist nicht in Google Play angemeldet.
  • Der Nutzer hat nicht die erforderliche Lizenz für den Zugriff auf die App.

Wenn Sie prüfen möchten, ob die Nutzerkonten auf dem Gerät ungewöhnliche Kontoaktivitäten aufweisen, prüfen Sie, ob accountActivity.activityLevel wie erwartet entspricht, wie im folgenden Code-Snippet gezeigt:

Kotlin

val requestDetails = JSONObject(payload).getJSONObject("accountDetails")
val accountActivity = requestDetails.getJSONObject("accountActivity")
val activityLevel = accountActivity.getString("activityLevel")

if (activityLevel == "UNUSUAL") {
    // One of the accounts is UNUSUAL! Be careful.
}

Java

JSONObject requestDetails =
    new JSONObject(payload).getJSONObject("accountDetails");
JSONObject accountActivity =
    new JSONObject(requestDetails).getJSONObject("accountActivity");
String activityLevel = accountActivity.getString("activityLevel");

if (activityLevel == "UNUSUAL") {
    // One of the accounts is UNUSUAL! Be careful.
}

Schritt 6: Integration mit Kontoaktivität testen

Mit der verfügbaren Testfunktion der Play Integrity API können Sie Tests erstellen, um zu bewerten, wie die Kontoaktivitätsebenen der Play Integrity API mit Ihrer App interagieren. Eine Anleitung zur Verwendung dieser Testfunktion finden Sie in der Play Console-Hilfe.

Schritt 7: Early Access-Feedback zu Google Play geben

Wir möchten, dass die Teilnehmer des Early Access-Programms Feedback zur Kontoaktivität geben. Senden Sie dazu eine E-Mail an integrity-api-eap@google.com. Unser Entwicklerforschungsteam wird sich auch mit Ihnen in Verbindung setzen, um Interviews zu vereinbaren. Wir möchten gern Folgendes verstehen:

  • Wie genau steht die Ebene der Kontoaktivität mit Konten, die bekanntermaßen missbräuchlich für Ihre App oder Ihr Spiel sind?
  • Entspricht die Zielgruppenverteilung der Kontoaktivität und anderer Play Integrity API-Ergebnisse deinen Erwartungen?
  • Welche Probleme mit Missbrauch möchten Sie mit Kontoaktivitäten und anderen Ergebnissen der Play Integrity API lösen?
  • Welche Funktionalität möchtest du aufgrund der Kontoaktivität und anderen Play Integrity API-Ergebnissen ändern?

Andere Play-Integritätstools

Ziehen Sie die Verwendung der folgenden anderen Integritätsschutztools als Teil Ihrer Strategie zur Vermeidung von Missbrauch in Betracht: