API Play Integrity: programma di accesso in anteprima (EAP) Attività dell'account

Crea una strategia anti-abuso più efficace e specifica con l'Attività dell'account Google Play, un nuovo indicatore dell'API Play Integrity. L'attività dell'account è rappresentata da livelli basati sulla presenza e sul volume di attività dello store e sull'età degli account sul dispositivo. Quando viene valutato, viene restituito un livello di attività dell'account per la sessione utente corrente e non è collegato a identificatori utente o dispositivo.

Che cos'è l'attività dell'account Google Play?

L'API Play Integrity offre una raccolta di indicatori di integrità per aiutare gli sviluppatori di app e giochi a rilevare il traffico potenzialmente rischioso e fraudolento. Gli sviluppatori che partecipano a questo programma di accesso in anteprima possono aggiungere l'attività dell'account alla risposta dell'API, che contiene già gli esiti delle licenze per dispositivi, applicazioni e account. Se gli esiti relativi a dispositivi, applicazioni o licenze presentano problemi, l'attività dell'account non verrà valutata. Se gli esiti esistenti non presentano problemi, l'attività dell'account restituirà un livello. Il livello viene determinato in base alla presenza e al volume di attività in negozio e all'età degli account sul dispositivo. Questo livello aiuterà la tua app a distinguere tra utenti probabilmente reali e traffico probabilmente non originale (ad esempio account utilizzati per attività fraudolente, account utilizzati da traffico automatizzato o account utilizzati nelle farm farm). La tua app può usare questo indicatore, insieme ad altri, per proteggere azioni sensibili o di valore elevato.

Le app che partecipano al programma di accesso in anteprima (EAP) possono ricevere uno dei seguenti livelli di attività dell'account per la sessione utente corrente:

  • UNEVALUATED: l'attività dell'account non viene valutata perché il dispositivo non è attendibile o l'utente non ha una licenza dell'app Google Play.
  • UNUSUAL: l'attività su Google Play Store è insolita per almeno uno degli account utente sul dispositivo. Google Play consiglia di verificare che si tratti di un utente reale.
  • UNKNOWN: Google Play non dispone di attività sullo store sufficiente per l'account utente sul dispositivo. L'account potrebbe essere nuovo o mancare di attività su Google Play.
  • TYPICAL (BASIC): l'attività del Google Play Store è tipica per gli account utente o per gli account sul dispositivo.
  • TYPICAL (STRONG): l'attività su Google Play Store è tipica per gli account utente o per gli account sul dispositivo, con indicatori più difficili da replicare.

Utilizzare l'attività dell'account nell'ambito di una strategia anti-abuso

L'attività dell'account funziona meglio se utilizzata insieme ad altri indicatori nell'ambito della strategia anti-abuso complessiva e non come unico meccanismo anti-abuso. Usa questo indicatore e l'API Play Integrity in combinazione con altre best practice per la sicurezza appropriate per la tua app.

Raccogli dati di telemetria e comprendi il tuo pubblico prima di agire

Prima di modificare la funzionalità in base all'attività dell'account o ad altri esiti dell'API Play Integrity, implementa l'API senza applicazione forzata per comprendere la situazione attuale del tuo pubblico esistente. Una volta individuati i livelli restituiti dalle installazioni attive correnti, puoi stimare l'impatto di qualsiasi applicazione che stai pianificando e modificare di conseguenza la tua strategia anti-abuso.

Sfida il traffico rischioso quando accedi a funzionalità di valore elevato o sensibili

Identifica azioni sensibili o di valore elevato nella tua app o nel tuo gioco da proteggere con l'API Play Integrity anziché negare completamente l'accesso all'app o al gioco. Se possibile, sfida il traffico rischioso prima di consentire il completamento di azioni di alto valore. Ad esempio, se il livello di attività dell'account è UNUSUAL, potresti richiedere un secondo meccanismo di verifica prima che l'utente possa completare l'azione che stai proteggendo.

Pianifica l'assistenza agli utenti

Se possibile, fornisci utili messaggi di errore all'utente e spiegagli cosa può fare per risolvere il problema, ad esempio riprovare, attivare la connessione a Internet o controllare che l'app Google Play Store sia aggiornata. Le valutazioni dell'attività dell'account vengono aggiornate periodicamente da Google Play. Le nuove attività dello store possono cambiare automaticamente il livello di un utente durante questi aggiornamenti periodici.

Seguire i consigli esistenti relativi all'API Play Integrity

Oltre alle procedure precedenti, leggi le considerazioni sulla sicurezza per l'API Play Integrity.

Accedere in anteprima alle attività dell'account dell'API Play Integrity

Per iniziare a utilizzare l'attività dell'account, procedi nel seguente modo.

Passaggio 1: esamina queste importanti considerazioni

  • L'attività dell'account è in fase di sviluppo attivo ed è soggetta a modifiche.
  • Le attività dell'account sono ancora riservate. Non condividere informazioni sull'attività dell'account o sui livelli di attività dell'account con gli utenti finali.
  • Se usi Attività dell'account, accetti i termini del Contratto di distribuzione per gli sviluppatori di Google Play e i Termini di servizio dell'API Play Integrity.
  • Gli sviluppatori che partecipano al programma di accesso in anteprima sono tenuti a valutare l'indicatore di attività dell'account e a fornire feedback e informazioni sul risultato della valutazione a Google Play prima di modificare la strategia di applicazione.

Passaggio 2: richiedi di partecipare al programma EAP dell'attività dell'account dell'API Play Integrity

Gli sviluppatori che fanno parte del Programma partner di Google Play per i giochi hanno automaticamente accesso al programma EAP relativo all'attività dell'account e possono andare al passaggio 3.

Altri sviluppatori possono manifestare il loro interesse a partecipare al programma di accesso in anteprima inviando un'email all'indirizzo integrity-api-eap@google.com con le seguenti informazioni:

  • Il nome del pacchetto e l'ID account sviluppatore.
  • Conferma di aver letto le pratiche consigliate per l'attività dell'account.
  • Il modo in cui intendi valutare l'attività dell'account e, se hai già un'idea, come prevedi di utilizzare l'attività dell'account.
  • Le tempistiche previste dopo l'accettazione nel programma di accesso in anteprima all'attività dell'account.

Al momento accettiamo solo sviluppatori che soddisfano soglie di rendimento su larga scala su Google Play con account in regola.

Passaggio 3: attiva l'Attività dell'account nella risposta dell'API Integrity da Google Play Console

Dopo l'accettazione nel programma di accesso in anteprima, nella pagina dell'API Integrity di Play Console vedrai una nuova opzione per includere l'attività dell'account nella risposta dell'API Play Integrity. Quando è tutto pronto, attiva l'attività dell'account in Play Console:

  1. Accedi a Play Console.
  2. Seleziona l'app che utilizzerà l'attività dell'account.
  3. Nella sezione Release del menu a sinistra, vai a Integrità dell'app.
  4. Accanto ad API Play Integrity, fai clic su Impostazioni.
  5. Nella sezione Risposte della pagina, accanto ad Attività dell'account, fai clic su Attiva.
  6. Nella finestra visualizzata, fai clic su Attiva.

Quando attivi o disattivi l'attività dell'account, tutte le risposte al test dell'API Play Integrity che hai configurato in Play Console verranno eliminate e dovrai crearle di nuovo.

Passaggio 4: integra l'API Integrity nella tua app e nel server di backend dell'app

Se non l'hai ancora fatto, segui la documentazione per integrare l'API Play Integrity nella tua app e nel server di backend dell'app.

Passaggio 5: utilizza l'attività dell'account

Una volta attivato, il campo accountDetails nel payload dell'API Play Integrity conterrà il nuovo indicatore Attività dell'account che rappresenta l'attività associata agli account utente sul dispositivo.

accountDetails: {
  // Represents the licensing status of the user session.
  // This field can be LICENSED, UNLICENSED, or UNEVALUATED.
  appLicensingVerdict: "LICENSED"

  // Represents the activity level associated with the user accounts on
  // the device of the user session.
  accountActivity: {
     // This field can be UNEVALUATED, UNUSUAL,
     // UNKNOWN, TYPICAL_BASIC, TYPICAL_STRONG
     activityLevel: "UNUSUAL"
  }
}

accountActivity può avere i seguenti valori:

INSOLITO
L'attività su Google Play Store è insolita per almeno uno degli account utente presenti sul dispositivo.
UNKNOWN
Google Play non dispone di attività dello store sufficiente per l'account utente sul dispositivo. L'account potrebbe essere nuovo o non mostrare attività su Google Play.
TIPICO (STANDARD)
L'attività su Google Play Store è tipica per l'account o gli account utente presenti sul dispositivo.
TIPICO (FORTE)
L'attività su Google Play Store è tipica per gli account utente presenti sul dispositivo, con indicatori più difficili da replicare.
UNEVALUATED

L'attività dell'account non viene valutata perché mancava un requisito necessario.

Questo potrebbe accadere per diversi motivi, tra cui:

  • Il dispositivo non è abbastanza attendibile.
  • La versione dell'app installata sul dispositivo non è nota a Google Play.
  • L'utente non ha eseguito l'accesso a Google Play.
  • L'utente non dispone della licenza necessaria per accedere all'app.

Per controllare che gli account utente sul dispositivo abbiano attività insolite dell'account, verifica che accountActivity.activityLevel sia come previsto, come mostrato nel seguente snippet di codice:

Kotlin

val requestDetails = JSONObject(payload).getJSONObject("accountDetails")
val accountActivity = requestDetails.getJSONObject("accountActivity")
val activityLevel = accountActivity.getString("activityLevel")

if (activityLevel == "UNUSUAL") {
    // One of the accounts is UNUSUAL! Be careful.
}

Java

JSONObject requestDetails =
    new JSONObject(payload).getJSONObject("accountDetails");
JSONObject accountActivity =
    new JSONObject(requestDetails).getJSONObject("accountActivity");
String activityLevel = accountActivity.getString("activityLevel");

if (activityLevel == "UNUSUAL") {
    // One of the accounts is UNUSUAL! Be careful.
}

Passaggio 6: testa l'integrazione con l'attività dell'account

Puoi creare test per valutare in che modo i livelli di attività dell'account dell'API Play Integrity interagiscono con la tua app utilizzando la funzionalità di test dell'API Play Integrity disponibile. Le istruzioni per l'utilizzo di questa funzionalità di test sono disponibili nel Centro assistenza Play Console.

Passaggio 7: fornisci un feedback per l'accesso in anteprima a Google Play

Invitiamo i partecipanti al programma di accesso in anteprima a fornire un feedback sull'attività dell'account. Per fornire il tuo feedback, invia un'email all'indirizzo integrity-api-eap@google.com. Anche il nostro team di ricerca degli sviluppatori si metterà in contatto con te per organizzare interviste. Ci interessa comprendere quanto segue:

  • Con quale precisione il livello di attività dell'account è correlato agli account illeciti noti per la tua app o il tuo gioco?
  • La distribuzione del pubblico relativa all'attività dell'account e ad altri esiti dell'API Play Integrity corrisponde alle tue aspettative?
  • Quali problemi relativi agli abusi stai cercando di risolvere con l'attività dell'account e altri esiti dell'API Play Integrity?
  • Quale funzionalità prevedi di modificare in base all'attività dell'account e ad altri esiti dell'API Play Integrity?

Altri strumenti Play Integrity

Potresti utilizzare questi altri strumenti di protezione dell'integrità nell'ambito della tua strategia anti-abuso: