API Play Integrity: programma di accesso in anteprima (EAP) Attività dell'account

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Crea una strategia anti-abuso più efficace e sfumata con l'attività dell'account Google Play, un nuovo indicatore nell'API Play Integrity. L'attività dell'account è rappresentata da livelli in base alla presenza e al volume di attività dello store e all'età degli account sul dispositivo. Quando viene valutato, viene restituito un livello di attività dell'account per la sessione utente corrente e non è collegato agli identificatori dell'utente o del dispositivo.

Che cos'è l'attività dell'account Google Play?

L'API Play Integrity offre una raccolta di indicatori di integrità per aiutare gli sviluppatori di app e giochi a rilevare il traffico potenzialmente rischioso e fraudolento. Gli sviluppatori di questo programma di accesso in anteprima possono aggiungere l'attività dell'account alla risposta dell'API, che contiene già i verdetto relativi alle licenze del dispositivo, dell'applicazione e dell'account. Se i verdetto relativi a dispositivo, applicazione o licenza presentano problemi, l'attività dell'account non verrà valutata. Se i giudizi esistenti non presentano problemi, l'attività dell'account restituirà un livello. Il livello viene determinato in base alla presenza e al volume di attività dello store e all'età degli account sul dispositivo. Il livello aiuterà la tua app a distinguere tra utenti probabilmente reali e traffico probabilmente non originale (ad esempio account utilizzati per attività fraudolente, account utilizzati dal traffico automatico o account utilizzati nei farm di dispositivi). La tua app può utilizzare questo indicatore, insieme ad altri, per proteggere azioni sensibili o di alto valore.

Le app che partecipano al programma di accesso in anteprima (EAP) possono ricevere uno dei seguenti livelli di attività dell'account per la sessione utente corrente:

• UNEVALUATED: l'attività dell'account non viene valutata perché il dispositivo non è considerato attendibile o l'utente non dispone di una licenza per le app Google Play.
• UNUSUAL: l'attività sul Google Play Store è insolita per almeno uno degli account utente sul dispositivo. Google Play consiglia di verificare che si tratti di un utente reale.
• UNKNOWN: Google Play non ha attività dello Store sufficienti per l'account dell'utente sul dispositivo. L'account potrebbe essere nuovo o non essere stato utilizzato su Google Play.
• TYPICAL (BASIC): l'attività del Google Play Store è tipica dell'account o degli account utente sul dispositivo.
• TYPICAL (STRONG): l'attività del Google Play Store è tipica dell'account o degli account dell'utente sul dispositivo, con indicatori più difficili da replicare.

Pratiche consigliate per l'attività dell'account dell'API Play Integrity

Utilizzare l'attività dell'account nell'ambito di una strategia anti-abuso

L'attività dell'account funziona al meglio se utilizzata insieme ad altri indicatori nell'ambito della tua strategia complessiva anti-abuso e non come unico meccanismo anti-abuso. Utilizza questo indicatore e l'API Play Integrity insieme ad altre best practice di sicurezza appropriate per la tua app.

Raccogliere dati telemetrici e comprendere il pubblico prima di intervenire

Prima di modificare la funzionalità in base all'attività dell'account o ad altri verdetti dell'API Play Integrity, implementa l'API senza applicazione per comprendere la situazione attuale del tuo pubblico esistente. Una volta che conosci i livelli della tua base di installazioni attuale, puoi stimare l'impatto di qualsiasi applicazione delle norme che stai pianificando e modificare di conseguenza la tua strategia anti-abuso.

Sfida il traffico rischioso quando accedi a funzionalità sensibili o di alto valore

Identifica le azioni sensibili o di alto valore nella tua app o nel tuo gioco da proteggere con l'API Play Integrity anziché negare del tutto l'accesso alla tua app o al tuo gioco. Se possibile, verifica il traffico rischioso prima di consentire l'esecuzione di azioni di alto valore. Ad esempio, quando il livello di attività dell'account è UNUSUAL, puoi richiedere un secondo meccanismo di verifica prima che l'utente possa completare l'azione che stai proteggendo.

Pianificare l'assistenza agli utenti

Se possibile, fornisci all'utente utili messaggi di errore e spiegagli cosa può fare per risolvere il problema, ad esempio riprovare, attivare la connessione a internet o verificare che l'app Google Play Store sia aggiornata. Le valutazioni dell'attività dell'account vengono aggiornate periodicamente da Google Play. Le nuove attività del negozio possono cambiare automaticamente il livello di un utente durante questi aggiornamenti periodici.

Segui i consigli esistenti per l'API Play Integrity

Oltre alle pratiche precedenti, leggi le considerazioni sulla sicurezza per l'API Play Integrity.

Ottenere l'accesso in anteprima all'attività dell'account dell'API Play Integrity

Per iniziare a utilizzare l'attività dell'account, segui questi passaggi.

Passaggio 1: esamina queste importanti considerazioni

• L'attività dell'account è in fase di sviluppo e soggetta a modifiche.
• L'attività dell'account rimane confidenziale. Non condividere informazioni sull'attività o sui livelli di attività dell'account con gli utenti finali.
• Se utilizzi l'attività dell'account, accetti i termini del Contratto di distribuzione per gli sviluppatori di Google Play e i Termini di servizio dell'API Play Integrity.
• Gli sviluppatori che partecipano al programma di accesso in anteprima devono valutare l'indicatore di attività dell'account e fornire feedback e informazioni sul risultato della valutazione a Google Play prima di modificare la strategia di applicazione.

Passaggio 2: richiedi di partecipare al programma EAP Attività dell'account dell'API Play Integrity

Gli sviluppatori che partecipano al Programma partner di Google Play per i giochi hanno automaticamente accesso al programma beta per le attività dell'account e possono passare al passaggio 3.

Gli altri sviluppatori possono esprimere il proprio interesse a partecipare al programma di accesso in anteprima inviando un'email all'indirizzo integrity-api-eap@google.com con le seguenti informazioni:

• Il nome del pacchetto e l'ID account sviluppatore.
• Conferma di aver letto le pratiche consigliate per l'attività dell'account.
• In che modo intendi valutare l'attività dell'account e, se hai già un'idea, come prevedi di utilizzarla.
• Le tempistiche previste una volta che avrai ottenuto l'accesso in anteprima al programma Attività dell'account.

Al momento, accettiamo solo gli sviluppatori che soddisfano soglie di rendimento su larga scala su Google Play con account in regola.

Passaggio 3: attiva l'attività dell'account nella risposta dell'API Integrity da Google Play Console

Una volta che il tuo programma di accesso in anteprima sarà stato accettato, nella pagina dell'API Integrity in Play Console vedrai una nuova opzione per includere l'attività dell'account nella risposta dell'API Play Integrity. Quando è tutto pronto, attiva l'attività dell'account in Play Console:

1. Accedi a Play Console.
2. Seleziona l'app che utilizzerà l'attività dell'account.
3. Nella sezione Release del menu a sinistra, vai a Integrità dell'app.
4. Accanto a API Play Integrity, fai clic su Impostazioni.
5. Nella sezione Risposte della pagina, accanto ad Attività dell'account, fai clic su Attiva.
6. Nella finestra visualizzata, fai clic su Attiva.

Quando attivi o disattivi l'attività dell'account, tutte le risposte al test dell'API Play Integrity che hai configurato in Play Console verranno eliminate e dovrai crearle di nuovo.

Passaggio 4: integra l'API Integrity nella tua app e nel server di backend dell'app

Se non l'hai già fatto, segui la documentazione per integrare l'API Play Integrity nella tua app e nel relativo server backend.

Passaggio 5: gestire l'attività dell'account

Una volta attivato, il campo accountDetails nel payload dell'API Play Integrity conterrà il nuovo indicatore Attività dell'account che rappresenta l'attività associata agli account utente sul dispositivo.

accountDetails: {
  // Represents the licensing status of the user session.
  // This field can be LICENSED, UNLICENSED, or UNEVALUATED.
  appLicensingVerdict: "LICENSED"

  // Represents the activity level associated with the user accounts on
  // the device of the user session.
  accountActivity: {
     // This field can be UNEVALUATED, UNUSUAL,
     // UNKNOWN, TYPICAL_BASIC, TYPICAL_STRONG
     activityLevel: "UNUSUAL"
  }
}

accountActivity può avere i seguenti valori:

INSOLITO

L'attività del Google Play Store è insolita per almeno uno degli account utente sul dispositivo.

SCONOSCIUTO

Google Play non ha attività dello Store sufficienti per l'account utente sul dispositivo. L'account potrebbe essere nuovo o non essere stato utilizzato su Google Play.

GESTIONE TRADIZIONALE (DI BASE)

L'attività del Google Play Store è tipica dell'account o degli account utente sul dispositivo.

INTENSA (TIPICA)

L'attività del Google Play Store è tipica dell'account o degli account utente sul dispositivo, con indicatori più difficili da replicare.

UNEVALUATED

L'attività dell'account non viene valutata perché non è stato soddisfatto un requisito necessario.

Questo potrebbe accadere per diversi motivi, tra cui:

• Il dispositivo non è abbastanza attendibile.
• La versione dell'app installata sul dispositivo non è nota a Google Play.
• L'utente non ha eseguito l'accesso a Google Play.
• L'utente non dispone della licenza necessaria per accedere all'app.

Per verificare che gli account utente sul dispositivo presentino attività insolite, verifica che accountActivity.activityLevel sia come previsto, come mostrato nel seguente snippet di codice:

val requestDetails = JSONObject(payload).getJSONObject("accountDetails")
val accountActivity = requestDetails.getJSONObject("accountActivity")
val activityLevel = accountActivity.getString("activityLevel")

if (activityLevel == "UNUSUAL") {
    // One of the accounts is UNUSUAL! Be careful.
}

JSONObject requestDetails =
    new JSONObject(payload).getJSONObject("accountDetails");
JSONObject accountActivity =
    new JSONObject(requestDetails).getJSONObject("accountActivity");
String activityLevel = accountActivity.getString("activityLevel");

if (activityLevel == "UNUSUAL") {
    // One of the accounts is UNUSUAL! Be careful.
}

Passaggio 6: testa l'integrazione con l'attività dell'account

Puoi creare test per valutare in che modo i livelli di attività dell'account dell'API Play Integrity interagiscono con la tua app utilizzando la funzionalità di test dell'API Play Integrity disponibile. Le istruzioni per utilizzare questa funzionalità di test sono disponibili nel Centro assistenza Play Console.

Passaggio 7: fornisci un feedback sull'accesso in anteprima a Google Play

Vorremmo che i partecipanti al programma di accesso in anteprima fornissero feedback sull'attività dell'account. Per fornire un feedback, invia un'email all'indirizzo integrity-api-eap@google.com. Il nostro team di ricerca per gli sviluppatori ti contatterà anche per organizzare le interviste. Vorremmo chiarire quanto segue:

• Con quale precisione il livello di attività dell'account è correlato agli account con comportamenti illeciti noti per la tua app o il tuo gioco?
• La distribuzione del pubblico dell'attività dell'account e altri giudizi dell'API Play Integrity corrisponde alle tue aspettative?
• Quali problemi di abuso stai cercando di risolvere con l'attività dell'account e altri giudizi dell'API Play Integrity?
• Quali funzionalità prevedi di modificare in base all'attività dell'account e ad altri giudizi dell'API Play Integrity?

Altri strumenti di Play Integrity

Valuta la possibilità di utilizzare questi altri strumenti di protezione dell'integrità nell'ambito della tua strategia anti-abuso:

• Impedisci ai dispositivi non attendibili di trovare e installare la tua app su Google Play. Ciò non impedisce agli utenti di ottenere e installare la tua app tramite altri mezzi (ad esempio tramite sideload).
• Utilizza la Protezione automatica dell'integrità per impedire la modifica e la ridistribuzione non autorizzate senza apportare modifiche al codice. Se al momento non hai accesso a questa funzionalità, contatta il tuo partner manager.
• Richiedi la protezione del nome del pacchetto (programma di accesso in anteprima) per difenderti dalle versioni sconosciute e modificate della tua app, ogni volta che vengono installate su dispositivi Android 11 e versioni successive con Google Play Services.

Contenuti correlati

• Scopri di più sull'API Play Integrity sul sito Android for Developers (documentazione)
• Migliora la sicurezza del tuo gioco con l'API Play Integrity (video)
• Migliora la sicurezza della tua app con il campo nonce dell'API Play Integrity (post del blog)