Play Integrity API: תוכנית הגישה המוקדמת לפעילות בחשבון (EAP)

יוצרים אסטרטגיה יעילה וייחודית יותר למאבק בניצול לרעה באמצעות חשבון Play פעילות, אות חדש ב-Play Integrity API. הפעילות בחשבון היא מיוצגים על ידי רמות על סמך הנוכחות והנפח של הפעילות בחנות, את גיל החשבונות במכשיר. כשאנחנו מבצעים את ההערכה, פעילות בחשבון מוחזר עבור סשן המשתמש הנוכחי ואינו מקושר למשתמש או מזהי מכשיר ייחודיים.

מהי 'פעילות בחשבון Play'?

Play Integrity API מציע אוסף של אותות תקינות שעוזרים לאפליקציה וגם מפתחי משחקים מזהים תנועה שעלולה להיות מסוכנת או שמקורה בתרמית. מפתחים ב- תוכנית הגישה המוקדמת (EAP) הזו יכולה להוסיף פעילות בחשבון לתגובת ה-API שלה, כבר מכיל את קביעות התקינות של המכשיר, האפליקציה והחשבון. אם יש בעיות בקביעות התקינות של המכשיר, האפליקציה או הרישיון, אז הפעילות בחשבון לא תתבצע הערכה. אם הקביעות הקיימות לא מכילות בעיות, אז הפעילות בחשבון תחזיר ערך. הרמה נקבעת על סמך הנוכחות והנפח של החנות הפיזית ואת גיל החשבונות במכשיר. הרמה תעזור לך באפליקציה שלך ניתן להבחין בין משתמשים שסביר להניח שהם אמיתיים לבין משתמשים שסביר להניח שהם לא אמיתיים תנועה (למשל, חשבונות המשמשים להונאה, חשבונות המשמשים להונאות תנועה או חשבונות שמשמשים בחוות מכשירים). האפליקציה שלך יכולה להשתמש באות הזה, לצד אחרים, כאשר מגינים על תוכן בעל ערך גבוה או על פעולות רגישות.

אפליקציות שמשתתפות בתוכנית הגישה המוקדמת (EAP) יכולות לקבל אחת רמות הפעילות הבאות בחשבון עבור סשן המשתמש הנוכחי:

• UNEVALUATED: לא מתבצעת הערכה של הפעילות בחשבון כי המכשיר לא 'מהימנה' או שלמשתמש אין רישיון לאפליקציה ב-Play.
• UNUSUAL: הפעילות בחנות Google Play חריגה לפחות למשתמש אחד החשבונות במכשיר. Google Play ממליצה לבדוק אם זה אמיתי משתמש.
• UNKNOWN: אין ב-Google Play מספיק פעילות בחנות של המשתמש החשבון במכשיר. ייתכן שהחשבון חדש, או שאין בו פעילות ב- Google Play.
• TYPICAL (BASIC): הפעילות בחנות Google Play אופיינית בחשבון המשתמש או חשבונות במכשיר.
• TYPICAL (STRONG): הפעילות בחנות Google Play אופיינית בחשבון המשתמש או חשבונות במכשיר, עם אותות שקשה יותר לבצע רפליקציה.

שיטות מומלצות לפעילות בחשבון Play Integrity API

שימוש בפעילות בחשבון כחלק מהאסטרטגיה למניעת ניצול לרעה

הפעילות בחשבון פועלת בצורה הטובה ביותר כשמשתמשים בה לצד אותות אחרים כחלק באופן כללי למאבק בניצול לרעה, ולא כמנגנון היחיד שלך למניעת ניצול לרעה. שימוש בטיוטה הזו וה-Play Integrity API בשילוב עם שיטות מומלצות לשמירה על אבטחה עבור האפליקציה.

אוספים נתוני טלמטריה ומבינים את הקהל לפני שמבצעים פעולה

לפני שמשנים פונקציונליות על סמך פעילות בחשבון או תכונות אחרות של Play הקביעות של Integrity API, צריך להטמיע את ה-API ללא אכיפה כדי להבין את על המצב הנוכחי של הקהל הקיים שלכם. אחרי שתדעו אילו רמות בסיס ההתקנות הנוכחי חוזר, אפשר להעריך את ההשפעה של כל את האכיפה ברשת, ולשנות את האסטרטגיה נגד ניצול לרעה בהתאם.

אתגרים של תנועה מסוכנת כשניגשים לתכונות רגישות או בעלות ערך גבוה

מזהים באפליקציה או במשחק פעולות רגישות או בעלות ערך גבוה כדי להגן עליהן באמצעות כדאי להשתמש ב-Integrity API במקום לדחות את הגישה לאפליקציה או למשחק באופן מיידי. מתי אפשרי, לאתגר תנועה מסוכנת לפני שתאפשר פעולות בעלות ערך גבוה. לדוגמה, כשרמת הפעילות בחשבון היא UNUSUAL, אפשר לדרוש מנגנון אימות שני לפני שהמשתמש יכול להשלים את הפעולה להגנה.

תכנון לקבלת תמיכה למשתמשים

כשאפשר, צריך לספק למשתמש הודעות שגיאה שימושיות וליידע אותו הם יכולים לעשות כדי לפתור את הבעיה, למשל לנסות שוב, להפעיל את החיבור לאינטרנט לבדוק שאפליקציית חנות Google Play מעודכנת. פעילות בחשבון ההערכות מתעדכנות מדי פעם על ידי Google Play. פעילויות חדשות בחנות יכולות ישנה אוטומטית את רמת המשתמש במהלך העדכונים התקופתיים האלה.

יישום ההמלצות הקיימות ל-Play Integrity API

בנוסף לשיטות הקודמות, קראו את המאמר בנושא אבטחה של השיקולים Play Integrity API.

קבלת גישה מוקדמת לפעילות בחשבון Play Integrity API

כדי להתחיל להשתמש בפעילות בחשבון, צריך לפעול לפי השלבים הבאים.

שלב 1: יש להביא בחשבון את השיקולים החשובים הבאים

• הפעילות בחשבון נמצאת בפיתוח פעיל וכפופה לשינויים.
• הפעילות בחשבון עדיין סודית. לא לשתף מידע על החשבון את הפעילות או את רמות הפעילות בחשבון עם משתמשי קצה.
• השימוש בפעילות בחשבון מבטא את הסכמתך לתנאים של מפתחים ב-Google Play הפצה הסכם ולתנאים ולהגבלות של Play Integrity API.
• מפתחים שמשתתפים בתוכנית הגישה המוקדמת צפויים להעריך את אות הפעילות בחשבון ולספק משוב ומידע על תוצאת ההערכה שלהם ב-Google Play לפני שינוי האכיפה שלהם את האסטרטגיה שלנו.

שלב 2: מבקשים להצטרף לפעילות בחשבון Play Integrity API EAP

מפתחים שהצטרפו לתוכנית השותפים של Google Play למשחקים: גישה לפעילות בחשבון EAP ואפשר לדלג לשלב 3.

מפתחים אחרים יכולים להביע עניין בהצטרפות לתוכנית הגישה המוקדמת (EAP) לשלוח אימייל לכתובת integrity-api-eap@google.com ולצרף את הפרטים הבאים:

• שם החבילה ומספר חשבון הפיתוח שלך.
• אישור שקראת את השיטות המומלצות לחשבון פעילות.
• האופן שבו בכוונתך להעריך את הפעילות בחשבון, ואם כבר יש לך רעיון - איך אתה מצפה להשתמש בפעילות בחשבון.
• לוח הזמנים הצפוי אחרי שתתקבל גישה מוקדמת לפעילות בחשבון תוכנית הגישה.

בשלב הזה, אנחנו מקבלים רק מפתחים שעומדים בדרישות ברמת ביצועים גבוהה ב-Google Play עם חשבונות במצב ניהול תקין.

שלב 3: הפעלת הפעילות בחשבון בתגובה מ-Integrity API מ-Google Play Console

אחרי שתתקבל לתוכנית הגישה המוקדמת (EAP), תוצג לך בקשה חדשה אפשרות בדף Integrity API ב-Play Console לכלול את הפעילות בחשבון בתגובה מ-Play Integrity API. כשהכול מוכן, אפשר להפעיל את החשבון פעילות ב-Play Console:

1. נכנסים לחשבון ב-Play Console.
2. בוחרים את האפליקציה שתשתמש בפעילות בחשבון.
3. בקטע גרסה בתפריט הימני, עוברים אל תקינות האפליקציה.
4. לצד Play Integrity API, לוחצים על הגדרות.
5. בקטע תגובות בדף, לצד פעילות בחשבון, לוחצים על הפעלה.
6. בחלון שמופיע, לוחצים על הפעלה.

כשמפעילים או משביתים את הפעילות בחשבון, כל בדיקה של Play Integrity API תשובות שהגדרת ב-Play Console יימחקו ויהיה עליך ליצור אותן שוב.

שלב 4: משלבים את Integrity API באפליקציה ובשרת הקצה העורפי של האפליקציה

אם עדיין לא עשית זאת, עליך לעיין במסמכים כדי לשלב את Play. Integrity API לאפליקציה ולאפליקציה שרת עורפי.

שלב 5: עבודה עם הפעילות בחשבון

לאחר ההפעלה, השדה accountDetails ב-Play Integrity API המטען הייעודי (Payload) יכיל אות הפעילות החדש בחשבון שמייצג את הפעילות שמשויכת אל חשבונות משתמש במכשיר.

accountDetails: {
  // Represents the licensing status of the user session.
  // This field can be LICENSED, UNLICENSED, or UNEVALUATED.
  appLicensingVerdict: "LICENSED"

  // Represents the activity level associated with the user accounts on
  // the device of the user session.
  accountActivity: {
     // This field can be UNEVALUATED, UNUSUAL,
     // UNKNOWN, TYPICAL_BASIC, TYPICAL_STRONG
     activityLevel: "UNUSUAL"
  }
}

accountActivity יכול לקבל את הערכים הבאים:

לא רגיל

הפעילות בחנות Google Play חריגה לפחות באחד מחשבונות המשתמש ב- במכשיר.

לא ידוע

אין ב-Google Play פעילות מספקת בחנות הפיזית עבור חשבון המשתמש ב-Google Play במכשיר. יכול להיות שהחשבון חדש או שאין בו פעילות ב-Google Play.

TYPTABLE (BASIC)

הפעילות בחנות Google Play אופיינית לחשבון המשתמש או לחשבונות ב- במכשיר.

TYPUL (חזק)

הפעילות בחנות Google Play אופיינית לחשבון המשתמש או לחשבונות ב- למכשיר מסוים, עם אותות שקשה יותר לבצע רפליקציה.

UNEVALUATED

לא מתבצעת הערכה של הפעילות בחשבון כי לא עמדת בדרישה כלשהי.

יכולות להיות לכך כמה סיבות, כולל הסיבות הבאות:

• המכשיר לא מספיק מהימן.
• הגרסה של האפליקציה שמותקנת במכשיר לא ידועה ל-Google Play.
• המשתמש לא מחובר ל-Google Play.
• למשתמש אין את הרישיון הנדרש כדי לגשת לאפליקציה.

כדי לבדוק אם קיימת פעילות חריגה בחשבון המשתמשים במכשיר, לאמת שה-accountActivity.activityLevel הוא כצפוי, כמו שמוצג את קטע הקוד הבא:

val requestDetails = JSONObject(payload).getJSONObject("accountDetails")
val accountActivity = requestDetails.getJSONObject("accountActivity")
val activityLevel = accountActivity.getString("activityLevel")

if (activityLevel == "UNUSUAL") {
    // One of the accounts is UNUSUAL! Be careful.
}

JSONObject requestDetails =
    new JSONObject(payload).getJSONObject("accountDetails");
JSONObject accountActivity =
    new JSONObject(requestDetails).getJSONObject("accountActivity");
String activityLevel = accountActivity.getString("activityLevel");

if (activityLevel == "UNUSUAL") {
    // One of the accounts is UNUSUAL! Be careful.
}

שלב 6: בודקים את השילוב עם הפעילות בחשבון

אפשר ליצור בדיקות כדי להעריך את רמות הפעילות בחשבון דרך Play משתמשים ב-Integrity API כדי ליצור אינטראקציה עם האפליקציה באמצעות הבדיקה הזמינה של Play Integrity API . ההוראות לשימוש בתכונת הבדיקה הזו זמינות ב-Play עזרה במסוף center.

שלב 7: שליחת משוב לגישה מוקדמת ל-Google Play

אנחנו רוצים שהמשתתפים בתוכנית הגישה המוקדמת יספקו משוב על פעילות בחשבון. כדי לשלוח משוב, אפשר לשלוח אימייל לכתובת integrity-api-eap@google.com. שלנו צוות המחקר למפתחים ייצור איתך קשר גם כדי לקבוע ראיונות. אנחנו מעוניינים להבין את הנושאים הבאים:

• עד כמה דיוק הקשר בין רמת הפעילות בחשבון לבין תוכן פוגעני ידוע חשבונות לאפליקציה או למשחק?
• האם התפלגות הקהל של הפעילות בחשבון ומדדי תקינות אחרים ב-Play הקביעות מה-API תואמות לציפיות שלך?
• אילו בעיות של ניצול לרעה ניסית לפתור באמצעות הפעילות בחשבון ועוד להפעיל את הקביעות של Integrity API?
• איזו פונקציונליות אתם מתכננים לשנות בהתאם לפעילות בחשבון ול קביעות אחרות של Play Integrity API?

כלים אחרים של Play לבדיקת תקינות

כדאי להשתמש בכלים הנוספים האלה להגנה על שלמות האפליקציה כחלק ממניעת ניצול לרעה אסטרטגיה:

• החרגה של מקורות מידע לא מהימנים מכשירים הוא לא יכול למצוא ולהתקין את האפליקציה ב-Google Play. זה לא למנוע ממשתמשים לקבל את האפליקציה ולהתקין אותה באמצעים אחרים (כמו התקנה ממקור לא ידוע).
• שימוש בתקינות אוטומטית הגנה למניעת שינוי והפצה מחדש ללא אישור, בלי לשנות בקוד שלכם. אם אין לך כרגע גישה לתכונה הזו, צריך לפנות אל ל-Partner Manager (מנהל השותפים).
• בקשת הגנה על שם חבילה (תוכנית גישה מוקדמת) כדי להגן מפני גרסאות לא מוכרות או ששונו של האפליקציה שלכם, בכל פעם מותקנות במכשירי Android 11 ואילך שבהם פועל Google Play Services.

תוכן קשור

• מידע נוסף על Play Integrity API זמין האתר למפתחי Android (מסמכי תיעוד)
• איך משפרים את האבטחה של המשחק עם Play Integrity API (סרטון)
• משפרים את האבטחה של האפליקציה באמצעות שדה ה-nonce ב-Play Integrity API (פוסט בבלוג)