Play Integrity API: Program akses awal (EAP) aktivitas akun

Buat strategi anti-penyalahgunaan yang lebih efektif dan lebih mendetail dengan aktivitas akun Play, sinyal baru di Play Integrity API. Aktivitas akun diwakili oleh level berdasarkan kehadiran dan volume aktivitas toko serta usia akun di perangkat. Saat dievaluasi, level aktivitas akun ditampilkan untuk sesi pengguna saat ini dan tidak ditautkan ke ID pengguna atau perangkat.

Apa yang dimaksud dengan aktivitas akun Play?

Play Integrity API menawarkan sekumpulan sinyal integritas untuk membantu developer aplikasi dan game mendeteksi traffic yang berpotensi menimbulkan risiko dan menipu. Developer dalam program akses awal ini dapat menambahkan aktivitas akun ke respons API mereka, yang sudah berisi verdict lisensi perangkat, aplikasi, dan akun. Jika verdict perangkat, aplikasi, atau lisensi memiliki masalah, aktivitas akun tidak akan dievaluasi. Jika verdict yang ada bebas dari masalah, aktivitas akun akan menampilkan level. Level ini ditentukan berdasarkan kehadiran dan volume aktivitas toko serta usia akun di perangkat. Level akan membantu aplikasi Anda membedakan antara kemungkinan pengguna asli dan kemungkinan traffic tidak asli (seperti akun yang digunakan untuk penipuan, akun yang digunakan oleh traffic otomatis, atau akun yang digunakan di farm perangkat). Aplikasi Anda dapat menggunakan sinyal ini, beserta aplikasi lain, saat melindungi tindakan bernilai tinggi atau sensitif.

Aplikasi yang berpartisipasi dalam program akses awal (EAP) dapat menerima salah satu level aktivitas akun berikut untuk sesi pengguna saat ini:

  • UNEVALUATED: Aktivitas akun tidak dievaluasi karena perangkat tidak tepercaya atau pengguna tidak memiliki lisensi aplikasi Play.
  • UNUSUAL: Aktivitas Google Play Store tidak wajar untuk setidaknya salah satu akun pengguna di perangkat. Google Play merekomendasikan untuk memeriksa apakah ini benar-benar pengguna.
  • UNKNOWN: Google Play tidak memiliki aktivitas toko yang memadai untuk akun pengguna di perangkat. Akun tersebut mungkin baru, atau mungkin tidak memiliki aktivitas di Google Play.
  • TYPICAL (BASIC): Aktivitas Google Play Store bersifat umum untuk akun pengguna atau akun di perangkat.
  • TYPICAL (STRONG): Aktivitas Google Play Store bersifat umum untuk akun pengguna atau akun di perangkat, dengan sinyal yang lebih sulit direplikasi.

Menggunakan aktivitas akun sebagai bagian dari strategi anti-penyalahgunaan

Play Integrity API akan berfungsi optimal jika digunakan bersama sinyal lain sebagai bagian dari keseluruhan strategi anti-penyalahgunaan dan bukan sebagai satu-satunya mekanisme anti-penyalahgunaan. Gunakan sinyal ini dan Play Integrity API bersama praktik terbaik keamanan lainnya yang sesuai untuk aplikasi Anda.

Kumpulkan telemetri dan pahami audiens Anda sebelum mengambil tindakan

Sebelum Anda mengubah fungsi berdasarkan aktivitas akun atau verdict Play Integrity API lainnya, terapkan API tanpa penegakan untuk memahami situasi saat ini dengan audiens yang ada. Setelah mengetahui level basis penginstalan saat ini yang ditampilkan, Anda dapat memperkirakan dampak dari penerapan yang Anda rencanakan, dan menyesuaikan strategi anti-penyalahgunaan dengan tepat.

Tantang traffic berisiko saat mengakses fitur bernilai tinggi atau sensitif

Identifikasi tindakan bernilai tinggi atau sensitif di aplikasi atau game Anda untuk melindungi dengan Play Integrity API, bukan menolak akses langsung ke aplikasi atau game Anda. Jika memungkinkan, tantang traffic berisiko sebelum mengizinkan tindakan bernilai tinggi untuk dilanjutkan. Misalnya, jika level aktivitas akun adalah UNUSUAL, Anda mungkin memerlukan mekanisme verifikasi kedua sebelum pengguna dapat menyelesaikan tindakan yang Anda lindungi.

Merencanakan dukungan pengguna

Jika memungkinkan, berikan pesan error yang berguna kepada pengguna dan beri tahu mereka hal yang dapat dilakukan untuk memperbaikinya, seperti mencoba ulang, mengaktifkan koneksi internet, atau memeriksa apakah aplikasi Play Store sudah yang terbaru. Evaluasi aktivitas akun diperbarui secara berkala oleh Google Play. Aktivitas toko baru dapat mengubah level pengguna secara otomatis selama pembaruan berkala ini.

Mengikuti rekomendasi yang sudah ada untuk Play Integrity API

Selain praktik sebelumnya, baca pertimbangan keamanan untuk Play Integrity API.

Dapatkan akses awal ke aktivitas akun Play Integrity API

Ikuti langkah berikut untuk mulai menggunakan aktivitas akun.

Langkah 1: Tinjau pertimbangan penting berikut

  • Aktivitas akun masih dalam pengembangan aktif dan dapat berubah sewaktu-waktu.
  • Aktivitas akun masih bersifat rahasia. Jangan bagikan informasi tentang aktivitas akun atau level aktivitas akun dengan pengguna akhir.
  • Dengan menggunakan aktivitas akun, Anda menyetujui persyaratan dalam Perjanjian Distribusi Developer Google Play dan Persyaratan Layanan Play Integrity API.
  • Developer yang berpartisipasi dalam program akses awal diharapkan dapat mengevaluasi sinyal aktivitas akun dan memberikan masukan serta informasi tentang hasil evaluasi mereka ke Google Play sebelum mengubah strategi penegakan kebijakan mereka.

Langkah 2: Minta untuk bergabung dengan EAP aktivitas akun Play Integrity API

Developer dalam Program Partner Google Play untuk Game secara otomatis memiliki akses ke EAP aktivitas akun dan dapat langsung ke langkah 3.

Developer lain dapat menunjukkan minat untuk bergabung ke program akses awal dengan mengirim email ke integrity-api-eap@google.com dengan menyertakan informasi berikut:

  • Nama paket dan ID akun developer Anda.
  • Konfirmasi bahwa Anda telah membaca praktik yang direkomendasikan untuk aktivitas akun.
  • Cara Anda ingin mengevaluasi aktivitas akun dan—jika Anda sudah memiliki ide—cara Anda ingin menggunakan aktivitas akun.
  • Linimasa yang diharapkan setelah Anda diterima dalam program akses awal aktivitas akun.

Saat ini, kami hanya menerima developer yang memenuhi batas minimum performa berskala tinggi di Google Play dengan akun yang bereputasi baik.

Langkah 3: Aktifkan aktivitas akun di respons Integrity API dari Konsol Google Play

Setelah diterima dalam program akses awal, Anda akan melihat opsi baru di halaman Integrity API di Konsol Play untuk menyertakan aktivitas akun dalam respons Play Integrity API. Jika sudah siap, aktifkan aktivitas akun di Konsol Play:

  1. Login ke Konsol Play.
  2. Pilih aplikasi yang akan menggunakan aktivitas akun.
  3. Di bagian Rilis pada menu kiri, buka Integritas aplikasi.
  4. Di samping Play Integrity API, klik Setelan.
  5. Di bagian Respons pada halaman, di samping Aktivitas akun, klik Aktifkan.
  6. Di jendela yang muncul, klik Aktifkan.

Saat Anda mengaktifkan atau menonaktifkan aktivitas akun, respons pengujian Play Integrity API yang telah Anda siapkan di Konsol Play akan dihapus dan Anda perlu membuatnya lagi.

Langkah 4: Integrasikan Integrity API di aplikasi Anda dan server backend aplikasi Anda

Jika Anda belum melakukannya, ikuti dokumentasi untuk mengintegrasikan Play Integrity API ke dalam aplikasi dan server backend aplikasi Anda.

Langkah 5: Gunakan aktivitas akun

Setelah diaktifkan, kolom accountDetails di payload Play Integrity API akan berisi sinyal aktivitas akun baru yang mewakili aktivitas yang terkait dengan akun pengguna di perangkat.

accountDetails: {
  // Represents the licensing status of the user session.
  // This field can be LICENSED, UNLICENSED, or UNEVALUATED.
  appLicensingVerdict: "LICENSED"

  // Represents the activity level associated with the user accounts on
  // the device of the user session.
  accountActivity: {
     // This field can be UNEVALUATED, UNUSUAL,
     // UNKNOWN, TYPICAL_BASIC, TYPICAL_STRONG
     activityLevel: "UNUSUAL"
  }
}

accountActivity dapat memiliki nilai berikut:

TIDAK WAJAR
Aktivitas Google Play Store tidak wajar untuk setidaknya salah satu akun pengguna di perangkat.
TIDAK DIKETAHUI
Google Play tidak memiliki aktivitas toko yang memadai untuk akun pengguna di perangkat. Akun tersebut mungkin baru, atau mungkin tidak memiliki aktivitas di Google Play.
STANDAR (DASAR)
Aktivitas Google Play Store bersifat standar untuk akun pengguna atau akun di perangkat.
STANDAR (KUAT)
Aktivitas Google Play Store bersifat standar untuk akun pengguna atau akun di perangkat, dengan sinyal yang lebih sulit direplikasi.
UNEVALUATED

Aktivitas akun tidak dievaluasi karena persyaratan yang diperlukan tidak terpenuhi.

Hal ini dapat terjadi karena beberapa alasan, termasuk:

  • Perangkat tidak cukup tepercaya.
  • Versi aplikasi yang diinstal di perangkat tidak dikenal oleh Google Play.
  • Pengguna tidak login ke Google Play.
  • Pengguna tidak memiliki lisensi yang diperlukan untuk mengakses aplikasi.

Untuk memeriksa apakah akun pengguna di perangkat memiliki aktivitas akun yang tidak wajar, verifikasi bahwa accountActivity.activityLevel sudah sesuai harapan, seperti yang ditunjukkan dalam cuplikan kode berikut:

Kotlin

val requestDetails = JSONObject(payload).getJSONObject("accountDetails")
val accountActivity = requestDetails.getJSONObject("accountActivity")
val activityLevel = accountActivity.getString("activityLevel")

if (activityLevel == "UNUSUAL") {
    // One of the accounts is UNUSUAL! Be careful.
}

Java

JSONObject requestDetails =
    new JSONObject(payload).getJSONObject("accountDetails");
JSONObject accountActivity =
    new JSONObject(requestDetails).getJSONObject("accountActivity");
String activityLevel = accountActivity.getString("activityLevel");

if (activityLevel == "UNUSUAL") {
    // One of the accounts is UNUSUAL! Be careful.
}

Langkah 6: Uji integrasi Anda dengan aktivitas akun

Anda dapat membuat pengujian untuk mengevaluasi cara level aktivitas akun dari Play Integrity API berinteraksi dengan aplikasi Anda menggunakan fitur pengujian Play Integrity API yang tersedia. Petunjuk untuk menggunakan fitur pengujian ini tersedia di pusat bantuan Konsol Play.

Langkah 7: Berikan masukan akses awal ke Google Play

Kami ingin peserta dalam program akses awal memberikan masukan tentang aktivitas akun. Untuk memberikan masukan, kirim email ke integrity-api-eap@google.com. Tim riset developer kami juga akan menghubungi Anda untuk mengatur wawancara. Kami tertarik untuk memahami hal-hal berikut:

  • Seberapa akurat level aktivitas akun yang berhubungan dengan akun penyalahgunaan yang diketahui untuk aplikasi atau game Anda?
  • Apakah distribusi audiens aktivitas akun dan verdict Play Integrity API lainnya cocok dengan ekspektasi Anda?
  • Masalah penyalahgunaan apa yang ingin Anda selesaikan dengan aktivitas akun dan verdict Play Integrity API lainnya?
  • Fungsi apa yang akan Anda ubah berdasarkan aktivitas akun dan verdict Play Integrity API lainnya?

Alat Play Integrity lainnya

Pertimbangkan untuk menggunakan alat perlindungan integritas lainnya sebagai bagian dari strategi anti-penyalahgunaan Anda:

  • Kecualikan perangkat yang tidak tepercaya agar tidak dapat menemukan dan menginstal aplikasi Anda di Google Play. Hal ini tidak mencegah pengguna mendapatkan dan menginstal aplikasi Anda dengan cara lain (seperti melakukan sideload).
  • Gunakan perlindungan integritas otomatis untuk mencegah modifikasi dan pendistribusian ulang tanpa izin tanpa perubahan pada kode Anda. Jika saat ini Anda tidak memiliki akses ke fitur ini, hubungi partner manager Anda.
  • Minta perlindungan nama paket (program akses awal) untuk melindungi aplikasi Anda dari versi yang tidak dikenal dan yang dimodifikasi, setiap kali aplikasi tersebut diinstal di perangkat Android 11+ yang menjalankan layanan Google Play.