Play Integrity API: program wcześniejszego dostępu do aktywności na koncie

Utwórz skuteczniejszą i bardziej zróżnicowaną strategię przeciwdziałania nadużyciom, korzystając z aktywności na koncie Google Play – nowego sygnału w interfejsie Play Integrity API. Aktywność na koncie jest reprezentowana przez poziomy na podstawie obecności i aktywności w Sklepie Play oraz wieku kont na urządzeniu. Po przetworzeniu zwracany jest poziom aktywności na koncie w bieżącej sesji użytkownika. Nie jest on powiązany z identyfikatorami użytkownika ani urządzenia.

Co to jest aktywność na koncie Google Play?

Interfejs Play Integrity API oferuje zbiór sygnałów dotyczących integralności, aby pomagać deweloperom aplikacji i gier w wykrywaniu potencjalnie niebezpiecznego oraz zawyżonego ruchu. Deweloperzy biorący udział w tym programie wczesnego dostępu mogą dodawać informacje o aktywności na koncie do odpowiedzi interfejsu API, która zawiera już werdykty dotyczące licencji na urządzenie, aplikację i konto. Jeśli wystąpią problemy z werdyktem dotyczącym urządzenia, aplikacji lub licencji, aktywność na koncie nie zostanie oceniona. Jeśli istniejące werdykty nie wskazują na problemy, aktywność na koncie spowoduje przywrócenie poziomu. Poziom jest określany na podstawie obecności i aktywności w Sklepie Play oraz wieku kont na urządzeniu. Poziom pomoże aplikacji odróżniać autentycznych użytkowników od prawdopodobnie nieautentycznego ruchu (np. kont wykorzystywanych do oszustw, kont używanych przez automatyczny ruch lub kont używanych na farmach urządzeń). Aplikacja może używać tego sygnału wraz z innymi sygnałami do ochrony działań o wysokiej wartości lub działań wrażliwych.

Aplikacje uczestniczące w programie wcześniejszego dostępu (EAP) mogą uzyskać jeden z tych poziomów aktywności na koncie w bieżącej sesji użytkownika:

  • UNEVALUATED: aktywność na koncie nie jest oceniana, ponieważ urządzenie nie jest zaufane lub użytkownik nie ma licencji na aplikację w Google Play.
  • UNUSUAL: aktywność w Sklepie Google Play jest nietypowa w przypadku co najmniej 1 konta użytkownika na urządzeniu. Google Play zaleca sprawdzenie, czy jest to prawdziwy użytkownik.
  • UNKNOWN: Google Play nie ma wystarczającej aktywności w sklepie dla konta użytkownika na urządzeniu. Konto może być nowe lub może nie mieć aktywności w Google Play.
  • TYPICAL (BASIC): aktywność w Sklepie Google Play jest typowa dla konta użytkownika lub kont na urządzeniu.
  • TYPICAL (STRONG): aktywność w Sklepie Google Play jest typowa dla konta użytkownika lub kont na urządzeniu, z trudniejszymi do odtworzenia sygnałami.

Korzystanie z aktywności na koncie w ramach strategii zapobiegania nadużyciom

Aktywność na koncie działa najlepiej, gdy jest używana w połączeniu z innymi sygnałami w ramach ogólnej strategii przeciwdziałania nadużyciom, a nie jako jedyny mechanizm tego rodzaju. Używaj tego sygnału i interfejsu Play Integrity API w połączeniu z odpowiednimi sprawdzonymi metodami dotyczącymi bezpieczeństwa w swojej aplikacji.

Zbieranie danych telemetrycznych i poznawanie odbiorców przed podjęciem działań

Zanim zmienisz funkcje na podstawie aktywności na koncie lub innych ocen interfejsu Play Integrity API, wprowadź interfejs API bez wymuszania, aby poznać obecną sytuację dotyczącą obecnej grupy odbiorców. Gdy już poznasz poziomy, na których działają Twoi obecni użytkownicy, możesz oszacować wpływ planowanych działań egzekwujących zasady i odpowiednio dostosować strategię zwalczania nadużyć.

Wyzwanie dotyczące niebezpiecznego ruchu podczas uzyskiwania dostępu do funkcji o wysokiej wartości lub funkcji wrażliwych

Określ działania o wysokiej wartości lub działania newralgiczne w aplikacji lub grze, aby chronić je za pomocą interfejsu Play Integrity API, zamiast od razu odrzucać dostęp do aplikacji lub gry. Jeśli to możliwe, sprawdzaj ryzykowny ruch, zanim zezwolisz na wykonywanie działań o wysokiej wartości. Jeśli na przykład poziom aktywności konta to UNUSUAL, możesz wymagać drugiego mechanizmu weryfikacji, zanim użytkownik będzie mógł wykonać działanie, które chcesz chronić.

Planowanie obsługi użytkowników

Jeśli to możliwe, wyświetlaj użytkownikom przydatne komunikaty o błędach i informuj ich, jak mogą rozwiązać problem, np. przez ponowne próbowanie, włączenie połączenia z internetem lub sprawdzenie, czy aplikacja Sklepu Google Play jest aktualna. Oceny aktywności na koncie są okresowo aktualizowane przez Google Play. Nowe działania w sklepie mogą automatycznie zmieniać poziom użytkownika podczas tych okresowych aktualizacji.

Postępuj zgodnie z obowiązującymi zaleceniami dotyczącymi interfejsu Play Integrity API

Oprócz powyższych praktyk zapoznaj się z uwagami dotyczącymi bezpieczeństwa w przypadku interfejsu Play Integrity API.

Uzyskaj wcześniejszy dostęp do aktywności na koncie w interfejsie Play Integrity API

Aby zacząć korzystać z aktywności na koncie, wykonaj te czynności.

Krok 1. Zapoznaj się z tymi ważnymi uwagami

  • Aktywność na koncie jest w fazie rozwoju i może ulec zmianie.
  • Aktywność na koncie jest nadal poufna. Nie udostępniaj użytkownikom informacji o aktywności na koncie ani poziomach aktywności na koncie.
  • Korzystając z aktywności na koncie, akceptujesz warunki Umowy dystrybucyjnej dla deweloperów Google PlayWarunków korzystania z usług interfejsu Play Integrity API.
  • Deweloperzy biorący udział w programie wcześniejszego dostępu powinni ocenić sygnał o aktywności konta i przed zmianą strategii egzekwowania zasad przesłać do Google Play opinię i informacje o wyniku oceny.

Krok 2. Poproś o dołączenie do programu EAP aktywności na koncie w interfejsie Play Integrity API

Deweloperzy uczestniczący w Programie partnerskim Google Play dla deweloperów gier mają automatyczny dostęp do EAP aktywności na koncie i mogą przejść od razu do kroku 3.

Inni deweloperzy mogą wyrazić zainteresowanie dołączeniem do programu wcześniejszego dostępu, wysyłając e-maila na adres integrity-api-eap@google.com z tymi informacjami:

  • nazwę pakietu i identyfikator konta dewelopera.
  • Potwierdzenie, że przeczytałeś/przeczytałaś zalecane metody dotyczące aktywności na koncie.
  • Jak zamierzasz oceniać aktywność na koncie i – jeśli już masz pomysł – jak zamierzasz wykorzystywać tę aktywność.
  • Przewidywany harmonogram po przyjęciu do programu wczesnego dostępu do sygnału aktywności na koncie.

Obecnie akceptujemy tylko deweloperów, którzy osiągają wysokie progi wydajności w Google Play i których konta mają dobrą opinię.

Krok 3. Włącz w Konsoli Google Play aktywność na koncie w odpowiedzi interfejsu Integrity API

Po zaakceptowaniu do programu wcześniejszego dostępu zobaczysz na stronie interfejsu Integrity API w Konsoli Play nową opcję umożliwiającą uwzględnienie aktywności na koncie w odpowiedzi interfejsu Play Integrity API. Gdy będziesz gotowy, włącz aktywność konta w Konsoli Play:

  1. Zaloguj się w Konsoli Play.
  2. Wybierz aplikację, która będzie korzystać z aktywności na koncie.
  3. W sekcji Wersja w menu po lewej stronie kliknij Integralność aplikacji.
  4. Obok opcji Play Integrity API kliknij Ustawienia.
  5. W sekcji Odpowiedzi na stronie obok opcji Aktywność na koncie kliknij Włącz.
  6. W wyświetlonym oknie kliknij Włącz.

Gdy włączysz lub wyłączysz aktywność na koncie, wszystkie odpowiedzi testowe Play Integrity API skonfigurowane w Konsoli Play zostaną usunięte i trzeba będzie je utworzyć ponownie.

Krok 4. Zintegruj interfejs Integrity API w swojej aplikacji i na serwerze backendowym

Jeśli nie zostało to jeszcze zrobione, postępuj zgodnie z instrukcjami, aby zintegrować interfejs API Integrity w Google Play z aplikacją i z serwerem backendowym aplikacji.

Krok 5. Zarządzanie aktywnością na koncie

Gdy włączysz tę opcję, w polu „accountDetails” w ładunku z interfejsem Play Integrity API pojawi się nowy sygnał aktywności na koncie, który reprezentuje aktywność związaną z kontami użytkowników na urządzeniu.

accountDetails: {
  // Represents the licensing status of the user session.
  // This field can be LICENSED, UNLICENSED, or UNEVALUATED.
  appLicensingVerdict: "LICENSED"

  // Represents the activity level associated with the user accounts on
  // the device of the user session.
  accountActivity: {
     // This field can be UNEVALUATED, UNUSUAL,
     // UNKNOWN, TYPICAL_BASIC, TYPICAL_STRONG
     activityLevel: "UNUSUAL"
  }
}

accountActivity może mieć te wartości:

UNUSUAL
Aktywność w Sklepie Google Play jest nietypowa w przypadku co najmniej 1 konta użytkownika na urządzeniu.
NIEZNANY
Google Play nie ma wystarczającej aktywności w sklepie na koncie użytkownika na urządzeniu. Konto może być nowe lub może nie wykazywać aktywności w Google Play.
TYPOWA (PODSTAWOWA)
Aktywność w Sklepie Google Play jest typowa dla konta(-ów) użytkownika na tym urządzeniu.
TYPOWA (SILNA)
Aktywność w sklepie Google Play jest typowa dla konta(-ów) użytkownika na danym urządzeniu, z trudniejszymi do odtworzenia sygnałami.
UNEVALUATED

Aktywność na koncie nie została oceniona, ponieważ pominięto niezbędny wymóg.

Może się tak zdarzyć z kilku powodów. Oto niektóre z nich:

  • Urządzenie nie jest wystarczająco zaufane.
  • Google Play nie rozpoznaje wersji aplikacji zainstalowanej na urządzeniu.
  • Użytkownik nie jest zalogowany w Google Play.
  • Użytkownik nie ma wymaganej licencji na dostęp do aplikacji.

Aby sprawdzić, czy na kontach użytkowników na urządzeniu występuje nietypowa aktywność, sprawdź, czy wartość accountActivity.activityLevel jest prawidłowa, jak pokazano w tym fragmencie kodu:

Kotlin

val requestDetails = JSONObject(payload).getJSONObject("accountDetails")
val accountActivity = requestDetails.getJSONObject("accountActivity")
val activityLevel = accountActivity.getString("activityLevel")

if (activityLevel == "UNUSUAL") {
    // One of the accounts is UNUSUAL! Be careful.
}

Java

JSONObject requestDetails =
    new JSONObject(payload).getJSONObject("accountDetails");
JSONObject accountActivity =
    new JSONObject(requestDetails).getJSONObject("accountActivity");
String activityLevel = accountActivity.getString("activityLevel");

if (activityLevel == "UNUSUAL") {
    // One of the accounts is UNUSUAL! Be careful.
}

Krok 6. Sprawdź integrację z aktywizmem na koncie

Za pomocą funkcji testowania interfejsu Play Integrity API możesz tworzyć testy, aby ocenić, jak poziomy aktywności na koncie z interfejsu Play Integrity API współdziałają z Twoją aplikacją. Instrukcje korzystania z tej funkcji testu znajdziesz w Centrum pomocy Konsoli Play.

Krok 7. Prześlij opinie na temat wcześniejszego dostępu do Google Play

Chcemy, aby uczestnicy programu wczesnego dostępu przekazywali opinie na temat aktywności na koncie. Aby przekazać opinię, wyślij e-maila na adres integrity-api-eap@google.com. Nasz zespół ds. badań dotyczących programistów skontaktuje się z Tobą, aby umówić wywiad. Interesują nas następujące kwestie:

  • Jak dobrze poziom aktywności na koncie koreluje z liczbą kont w Twojej aplikacji lub grze, które nadużywają zasad?
  • Czy rozkład odbiorców aktywności na koncie i innych orzeczeń API Integracji z Google Play spełnia Twoje oczekiwania?
  • Jakie problemy związane z nadużyciami próbujesz rozwiązać za pomocą aktywności na koncie i innych ocen interfejsu Play Integrity API?
  • Jakie funkcje planujesz zmienić na podstawie aktywności na koncie i innych werdyktów interfejsu Play Integrity API?

Inne narzędzia Play Integrity

W ramach swojej strategii zwalczania nadużyć rozważ użycie tych innych narzędzi do ochrony integralności:

  • Wykluczanie niezaufanych urządzeń z możliwości znajdowania i instalowania aplikacji w Google Play. Nie blokuje to użytkownikom możliwości pozyskania i zainstalowania aplikacji w inny sposób (np. przez zainstalowanie z nieoficjalnego źródła).
  • Używaj automatycznej ochrony integralności, aby zapobiec nieautoryzowanym modyfikacjom i redystrybucji bez wprowadzania zmian w kodzie. Jeśli nie masz obecnie dostępu do tej funkcji, skontaktuj się z menedżerem ds. partnera.
  • Poproś o ochronę nazwy pakietu (program wcześniejszego dostępu), aby chronić się przed nieznanymi i zmodyfikowanymi wersjami aplikacji, gdy są instalowane na urządzeniach z Androidem w wersji 11 lub nowszej z użyciem Usług Google Play.