API Play Integrity: programa de acesso antecipado (PAA) à atividade da conta

Crie uma estratégia contra abuso mais eficaz e diferenciada usando a atividade da conta do Google Play, que é um novo indicador da API Play Integrity. A atividade da conta é representada por níveis com base na presença e no volume de atividade na loja, além da idade das contas no dispositivo. Quando o nível de atividade da conta é avaliado, ele é retornado para a sessão do usuário atual e não é vinculado a identificadores do usuário ou dispositivo.

O que é a atividade da conta do Google Play?

A API Play Integrity oferece uma coleção de indicadores de integridade para ajudar os desenvolvedores de apps e jogos a detectar tráfego fraudulento e que potencialmente arriscado. Os desenvolvedores desse programa de acesso antecipado podem adicionar as atividades das contas à resposta da API, que já contém os vereditos de dispositivo, aplicativo e licença. Se os vereditos do dispositivo, do aplicativo ou da licença tiverem problemas, a atividade da conta não vai ser avaliada. Se os vereditos atuais não tiverem problemas, a atividade da conta vai retornar um nível. Os níveis são determinado com base na presença e no volume de atividade na loja, além da idade das contas no dispositivo. Esse nível vai ajudar o app a diferenciar entre possíveis usuários reais e tráfego que pode ser malicioso, como contas usadas para fraudes, contas usadas por tráfego automatizado ou contas usadas em fábricas de dispositivos. O app pode usar esse indicador, junto com outros para proteger ações de alto valor ou confidenciais.

Os apps que participam do programa de acesso antecipado (PAA) podem receber um destes níveis de atividade da conta para a sessão do usuário atual:

• UNEVALUATED: a atividade da conta não é avaliada porque o dispositivo não é confiável ou o usuário não tem uma licença de app do Google Play.
• UNUSUAL: a atividade da Google Play Store é incomum para pelo menos uma das contas de usuário no dispositivo. O Google Play recomenda conferir se esse é um usuário real.
• UNKNOWN: a plataforma não tem atividades de loja suficientes na conta do usuário no dispositivo. A conta pode ser nova ou não ter atividade no Google Play.
• TYPICAL (BASIC): a atividade da Google Play Store é típica para as contas do usuário no dispositivo.
• TYPICAL (STRONG): a atividade da Google Play Store é típica para as contas do usuário no dispositivo, com indicadores mais difíceis de replicar.

Práticas recomendadas da API Play Integrity para a atividade da conta

Usar a atividade da conta como parte de uma estratégia contra abuso

A atividade da conta funciona melhor quando usada em conjunto com outros indicadores como parte da sua estratégia geral contra abuso, e não como seu único mecanismo antiabuso. Use esse indicador e a API Play Integrity em conjunto com outras práticas recomendadas de segurança adequadas para o app.

Coletar dado de telemetria e entender o público-alvo antes de agir

Antes de mudar a funcionalidade com base na atividade da conta ou em outros vereditos da API Play Integrity, implemente a API sem restrições para entender melhor a situação atual com o público existente. Depois de saber quais níveis a base instalada atual está retornando, é possível estimar o impacto de qualquer medida que você planeja tomar e ajustar sua estratégia contra abuso de forma adequada.

Desafiar tráfego arriscado ao acessar recursos confidenciais ou de alto valor

Identifique ações confidenciais ou de alto valor no app ou jogo para serem protegidas com a API Play Integrity, em vez de negar o acesso logo de início. Sempre que possível, conteste o tráfego que pode representar um risco antes de permitir ações de alto valor. Por exemplo, quando o nível de atividade da conta é UNUSUAL, é possível exigir um segundo mecanismo de verificação antes que o usuário possa concluir a ação que está sendo protegida.

Planejar o suporte ao usuário

Quando possível, forneça mensagens de erro úteis aos usuários e informe o que pode ser feito para corrigir o problema, como tentar novamente, ativar a conexão de Internet ou conferir se o app da Google Play Store está atualizado. As avaliações da atividade da conta são atualizadas periodicamente pelo Google Play. As novas atividades da loja podem mudar de forma automática o nível de um usuário durante essas atualizações periódicas.

Seguir as recomendações existentes para a API Play Integrity

Além das práticas anteriores, leia também as considerações de segurança da API Play Integrity.

Acesso antecipado da API Play Integrity às atividades de contas

Siga estas etapas para começar a usar a atividade da conta.

Etapa 1: analisar estas considerações importantes

• A atividade da conta está em desenvolvimento e pode estar sujeita a mudanças.
• A atividade da conta ainda é um recurso confidencial. Não compartilhe informações sobre as atividades ou os níveis de atividade da conta com os usuários finais.
• Ao usar a atividade da conta, você concorda com os termos do Contrato de distribuição para desenvolvedores do Google Play e com os Termos de Serviço da API Play Integrity.
• Os desenvolvedores que participam do programa de acesso antecipado precisam avaliar o indicador de atividade da conta, além de fornecer feedback e informações sobre o resultado da avaliação que fizeram no Google Play antes de mudar a estratégia de implementação.

Etapa 2: solicitar a participação no PAA da API Play Integrity para atividade da conta

Os desenvolvedores do Programa de Parcerias do Google Play para Jogos já têm acesso de forma automática ao PAA da atividade da conta e podem pular para a etapa 3.

Outros desenvolvedores podem demonstrar interesse em participar do programa de acesso antecipado enviando um e-mail para integrity-api-eap@google.com com as informações abaixo:

• O nome do pacote e seu ID da conta de desenvolvedor.
• Confirmação de que você leu as práticas recomendadas para a atividade da conta.
• Como você pretende avaliar a atividade da conta e, se já tem uma ideia, como espera usar a atividade da conta.
• Seu cronograma esperado, assim que você for aceito no programa de acesso antecipado à atividade da conta.

No momento, estamos aceitando apenas desenvolvedores que atendam a limites de performance em grande escala no Google Play com contas em situação regular.

Etapa 3: ativar a atividade da conta na resposta da API Integrity no Google Play Console

Depois de sua participação no programa de acesso antecipado ser aceita, você vai encontrar uma nova opção na página da API Integrity no Play Console para incluir a atividade da conta na resposta da API Play Integrity. Quando estiver tudo pronto, ative a atividade da conta no Play Console:

1. Faça login no Play Console.
2. Selecione o app que vai usar a atividade da conta.
3. Na seção Versão do menu à esquerda, acesse Integridade do app.
4. Ao lado de API Play Integrity, clique em Configurações.
5. Na seção Respostas da página, ao lado de Atividade da conta, clique em Ativar.
6. Na janela mostrada, clique em Ativar.

Quando você ativa ou desativa a atividade da conta, todas as respostas do teste da API Play Integrity que você configurou no Play Console são excluídas e é necessário criar essas respostas novamente.

Etapa 4: integrar a API Integrity ao app e ao servidor de back-end

Siga a documentação para integrar a API Play Integrity ao app e ao servidor de back-end, caso ainda não tenha feito isso.

Etapa 5: trabalhar com a atividade da conta

Depois da ativação, os accountDetails no campo de payload da API Play Integrity vão conter o novo indicador de atividade da conta que representa a atividade associada às contas de usuário do dispositivo.

accountDetails: {
  // Represents the licensing status of the user session.
  // This field can be LICENSED, UNLICENSED, or UNEVALUATED.
  appLicensingVerdict: "LICENSED"

  // Represents the activity level associated with the user accounts on
  // the device of the user session.
  accountActivity: {
     // This field can be UNEVALUATED, UNUSUAL,
     // UNKNOWN, TYPICAL_BASIC, TYPICAL_STRONG
     activityLevel: "UNUSUAL"
  }
}

accountActivity pode ter estes valores:

UNUSUAL

A atividade da Google Play Store é incomum para pelo menos uma das contas de usuário no dispositivo.

UNKNOWN

O Google Play não tem atividade de loja suficiente na conta do usuário no dispositivo. A conta pode ser nova ou não ter atividade no Google Play.

TYPICAL (BASIC)

A atividade da Google Play Store é típica para as contas do usuário no dispositivo.

TYPICAL (STRONG)

A atividade da Google Play Store é típica para as contas do usuário no dispositivo, com indicadores mais difíceis de replicar.

UNEVALUATED

A atividade da conta não é avaliada porque um requisito necessário está ausente.

Isso pode acontecer por vários motivos, incluindo:

• O dispositivo não é confiável o suficiente.
• A versão do app instalada no dispositivo é desconhecida para o Google Play.
• O usuário não está conectado ao Google Play.
• O usuário não tem a licença necessária para acessar o app.

Para verificar se as contas de usuário no dispositivo têm uma atividade de conta incomum, verifique se o accountActivity.activityLevel está de acordo com o esperado, conforme mostrado no snippet de código abaixo:

val requestDetails = JSONObject(payload).getJSONObject("accountDetails")
val accountActivity = requestDetails.getJSONObject("accountActivity")
val activityLevel = accountActivity.getString("activityLevel")

if (activityLevel == "UNUSUAL") {
    // One of the accounts is UNUSUAL! Be careful.
}

JSONObject requestDetails =
    new JSONObject(payload).getJSONObject("accountDetails");
JSONObject accountActivity =
    new JSONObject(requestDetails).getJSONObject("accountActivity");
String activityLevel = accountActivity.getString("activityLevel");

if (activityLevel == "UNUSUAL") {
    // One of the accounts is UNUSUAL! Be careful.
}

Etapa 6: testar a integração com a atividade da conta

É possível criar testes para avaliar como os níveis de atividade da conta da API Play Integrity interagem com o app usando o recurso de teste disponível pela API Play Integrity. As instruções para usar esse recurso de teste estão disponíveis na Central de Ajuda do Play Console.

Etapa 7: enviar feedback do acesso antecipado ao Google Play

Queremos que os participantes do programa de acesso antecipado forneçam feedback sobre a atividade da conta. Para enviar feedback, mande um e-mail para integrity-api-eap@google.com. Nossa equipe de pesquisa para desenvolvedores também vai entrar em contato para organizar entrevistas. Queremos entender estas informações:

• Qual é o nível de precisão da correlação entre a atividade da conta e as contas abusivas relacionadas ao seu app ou jogo?
• A distribuição de público-alvo da atividade da conta e de outros vereditos da API Play Integrity corresponde às suas expectativas?
• Quais problemas de abuso você está tentando resolver com a atividade da conta e outros vereditos da API Play Integrity?
• Qual funcionalidade você planeja mudar com base na atividade da conta e em outros vereditos da API Play Integrity?

Outras ferramentas de integridade do Google Play

Considere usar essas outras ferramentas de proteção de integridade como parte da sua estratégia contra abuso:

• Impedir que dispositivos não confiáveis encontrem e instalem seu app no Google Play. Isso não impede que os usuários acessem e instalem o app por outros meios, como por sideload.
• Use a Proteção automática da integridade para evitar modificações e redistribuição não autorizadas sem mudanças no código. Se você não tem acesso a esse recurso no momento, entre em contato com seu gerente de parcerias.
• Solicite a proteção do nome do pacote (programa de acesso antecipado) para proteger seu app contra versões desconhecidas e modificadas caso elas sejam instaladas em dispositivos com o Android 11 ou versões mais recentes que tenham o Google Play Services.

Conteúdo relacionado

• Saiba mais sobre a API Play Integrity no site Desenvolvedores Android (documentação).
• Melhorar a segurança do seu jogo com a API Play Integrity (vídeo)
• Aumente a segurança do app com o campo de valor de uso único da API Play Integrity (postagem do blog, em inglês)