藉由 Play Integrity API,您可以檢查互動情形和伺服器要求,確認來源是正版 Android 裝置上執行的正版應用程式二進位檔。應用程式的後端伺服器可以偵測具有潛在風險的詐欺活動 (例如從遭竄改的應用程式版本和不可靠的環境偵測),進而採取適當的因應措施防範攻擊,並減少濫用情形。Play Integrity API 也提供選用功能,協助您偵測及回應其他威脅,例如已知的惡意軟體、不明的螢幕擷取和重疊、應用程式濫用無障礙權限、過度活動,以及來自同一裝置的反覆濫用行為。
當您的應用程式或遊戲在獲得 Play 安全認證的 Android 裝置上執行時,Play Integrity API 會提供回應,協助您判斷是否正在與下列項目互動:
- 正版應用程式二進位檔:判斷您是否與 Google Play 認定的未修改二進位檔互動。
- 正版 Play 安裝:判斷目前的使用者帳戶是否已獲得授權,也就是使用者已從 Google Play 安裝或付費購買您的應用程式或遊戲。
- 正版 Android 裝置:判斷您的應用程式是否在 Play 安全防護認證的 Android 裝置上執行 (或在正規的 Google Play 遊戲電腦版中執行)。
您可以選擇在 Play Integrity API 回應中接收環境資訊,包括:
- 應用程式存取風險:判斷是否有其他可以擷取螢幕畫面、重疊顯示,或控制裝置的應用程式正在執行 (例如濫用無障礙權限)。
- 已知惡意軟體風險:判斷 Google Play 安全防護是否已啟用,以及裝置上是否安裝有風險或危險的應用程式。
您也可以選擇啟用可協助偵測過度活動和重複濫用行為的功能:
- 近期裝置活動:判斷裝置是否最近發出異常大量的要求,這可能表示有自動流量,也可能是攻擊的徵兆。
- 裝置喚回 (Beta 版):判斷您是否與先前互動的裝置互動,即使應用程式已重新安裝或裝置已重設也一樣。
總覽
當使用者在應用程式中執行操作時,您可以呼叫 Play Integrity API,確認該操作是在正版應用程式二進位檔中發生,也就是由 Google Play 安裝、在正版 Android 裝置上執行的二進位檔。您也可以選擇在回應中加入其他資訊,包括裝置最近提出的要求數量,以及有關環境的信號,包括應用程式存取風險判定結果和 Play 安全防護判定結果。如在判定結果中發現問題,應用程式的後端伺服器可判斷要採取哪些行動,防範濫用、詐欺、誤用、作弊、未經授權的存取和攻擊行為等問題。
安全性考量
為使應用程式充分發揮 Play Integrity API 的效用,請遵循下列建議做法:
制定反濫用策略
Play Integrity API 在與其他信號搭配使用,也就是做為整體反濫用策略的一部分,而非單一反濫用機制時效用最佳。在應用程式使用這個 API 的同時,也請搭配其他適當的安全性最佳做法。根據預設,應用程式每天在所有安裝檔中最多共可提出 10,000 次要求,但您可以要求提高每日上限。
收集遙測資訊及瞭解目標對象,再採取行動
在根據 Play Integrity API 判定結果變更應用程式行為之前,您可以透過不強制執行的方式實作 API,瞭解現有目標對象的目前情況。瞭解目前的安裝數會傳回什麼判定結果後,您就可以預估自己規劃的強制執行作業有何影響,再據此調整反濫用策略。
決定要求完整性判定結果的方式
Play Integrity API 提供兩種方式讓您要求及接收完整性判定結果。無論您是提出標準要求、傳統要求,還是兩者並用,完整性判定結果的回應都會以同一格式傳回。
標準 API 要求適用於任何應用程式或遊戲,隨選即用,可檢查任一使用者操作或伺服器要求是否正規。標準要求的延遲時間最短 (平均為數百毫秒),可相當程度地確保您取得實用的判定結果。這類要求會善用智慧型裝置端快取功能,同時將能抵禦幾類特定攻擊的防護功能委派給 Google Play。
傳統 API 要求是要求完整性判定結果的原始方式,系統目前仍支援提出這類要求。傳統要求的延遲時間較長 (平均為數秒),您必須自行負責降低特定類型攻擊的風險。由於傳統要求會啟動新的評估作業,所耗用的使用者資料量和電量會比標準要求還多,因此,建議把這類要求做為不常執行的一次性檢查,用於確認高度敏感/重要操作是否正規。如果正在考慮提出傳統要求,並快取這類要求留待日後使用,建議您改為提出可降低攻擊風險的標準要求。
下表重點列出兩種要求的主要差異:
| 標準 API 要求 | 傳統 API 要求 | |
|---|---|---|
| Android SDK 最低需求版本 | Android 5.0 (API 級別 21) 以上版本 | Android 4.4 (API 級別 19) 以上版本 |
| API 需要暖機 | ✔️ (幾秒) | ❌ |
| 要求的一般延遲時間 | 幾百毫秒 | 幾秒 |
| 可能的要求頻率 | 頻繁 (隨選即可檢查任何操作或要求) | 不頻繁 (對最重要的操作或最機密的要求執行一次性檢查) |
| 如何因應重送和類似攻擊 | 由 Google Play 自動採取因應措施 | 使用 nonce 欄位和伺服器端邏輯 |
您可以查看傳統要求的注意事項表格,瞭解更多差異。
在適當時機要求系統提供完整性判定結果
如要防止詐騙者存取,建議您盡可能在執行動作或伺服器要求時,要求取得應用程式存取風險判定結果,以免詐騙者繞過由應用程式執行的完整性檢查。
避免他人輕易複製您的 API 要求
標準 API 要求中有一個名為 requestHash 的欄位,用於防範竄改和類似攻擊。在這個欄位中,您應加入應用程式要求內所有相關值的摘要。請按照如何使用內容繫結指南操作,為應用程式的標準要求提供防護。
傳統 API 要求中則有個名為 nonce (number once 的簡寫,意為只能使用一次) 的欄位,用於防止重播和竄改等特定類型的攻擊。請按照如何產生 Nonce 指南操作,為應用程式的傳統要求提供防護。
避免快取完整性判定結果
快取完整性判定結果會增加處理 Proxy 的風險,在 Proxy 這類攻擊中,不肖人士會在另一個環境重複使用善意裝置的判定結果,為的就是要大肆濫用。與其對回應執行快取,不如提出標準 API 要求取得隨選判定結果。
制定分層強制執行策略
Play Integrity API 的完整性判定結果有多種可能的回應方式,可讓您建構具有多個強制執行層級的反濫用策略。如要這麼做,請設定應用程式的後端伺服器,根據各個可能回應或一組回應採取不同行為。
您也可以在 Play 管理中心的 API 回應中選擇接收額外裝置標籤,這樣就能依據裝置可信度制定分層的強制執行策略。只要裝置符合標籤條件,就會分別傳回所有標籤。舉例來說,在選擇接收所有裝置標籤後,會同時傳回 MEETS_STRONG_INTEGRITY、MEETS_DEVICE_INTEGRITY 和 MEETS_BASIC_INTEGRITY 的裝置,和只傳回 MEETS_BASIC_INTEGRITY 的裝置相較,您可選擇更信任前者。無論何種情況,您都可透過伺服器做出不同回應。
從伺服器將一系列回應傳送至應用程式
與其每次都將相同的二進位檔成功/失敗回應從伺服器傳回應用程式,不妨提供一系列決策結果,因為這樣可增加複製難度。例如,您可以使用一系列相關的回應,像是「允許」、「允許限制」、「在人機驗證 (Captcha) 完成後允許限制」,以及「拒絕」。
使用裝置喚回功能偵測重複的濫用行為,同時保護使用者隱私
裝置記憶功能可讓應用程式以保護使用者隱私的方式,儲存及喚回與特定裝置相關的部分自訂資料。這類資料會儲存在 Google 伺服器,因此即使在應用程式重新安裝或裝置重設後,應用程式仍能穩定地喚回每部裝置的資料。這樣一來,您就能透過可靠的方式重新辨識過去發現濫用行為的裝置,進而採取行動,避免該裝置再次用於濫用行為。您可以為組成裝置回想資料的三個值定義自己的含義:
- 您最多可以將這些值用作三個個別的標記或布林值。舉例來說,這些值可能代表裝置已或未建立帳戶、已或未兌換免費試用方案,或是已或未出現嚴重濫用行為。
- 或者,您也可以將所有值的狀態合併為最多八個自訂標籤,例如,當所有三個值皆未修改時,可使用一個標籤代表預設狀態,以及七個自訂含義的標籤。這樣一來,您就能根據所定義的行為或動作,將所有裝置分為最多八個區隔。在這種情況下,三個
writeDates中最近更新的標籤會顯示上次更新標籤的時間。
使用裝置回收資料時,請務必留意必要條件和其他注意事項。
利用近期裝置活動偵測大規模濫用行為
使用 Play Integrity API 的近期裝置活動功能,找出要求大量完整性權杖的裝置。大量活動濫用者通常會從真實裝置產生有效的認證結果,並將這些結果提供給機器人,自動在已解鎖裝置和模擬器上發動攻擊。您可以使用近期裝置活動層級,查看應用程式在過去 1 小時內在該裝置上產生的認證數量。
顯示可採取行動的錯誤訊息
請盡可能為使用者提供實用的錯誤訊息,並告知應採取哪些行動來修正問題,例如重試、啟用網路連線,或檢查 Play 商店應用程式是否為最新版本。
針對非預期問題或服務中斷情形制定因應計畫
Play 狀態資訊主頁會顯示 Play Integrity API 服務狀態的相關資訊,以及所有停止運作和服務中斷相關資訊。您應事先規劃萬一發生大規模 Play Integrity API 服務中斷情形時,後端伺服器該如何運作。請注意,如果 Android 平台金鑰認證金鑰遭到撤銷,後端伺服器也應能正常運作。
考慮採用端對端企業詐欺解決方案
需要完整的詐欺和機器人管理解決方案的企業客戶可以購買 reCAPTCHA Enterprise 行動版,其中的 Android 專用 SDK可提供開發人員詐欺風險分數參考。reCAPTCHA Enterprise 會自動納入 Play Integrity API 信號,並與客戶的 reCAPTCHA 網路和應用程式信號結合,提供立即可用、無縫接軌、且不易察覺的詐欺防範管理解決方案。此外,還可以針對無法使用 Play Integrity API 的 Android 應用程式提供安全防護。
存取高價值或敏感功能時,可能有風險的流量
找出應用程式或遊戲中的高價值或敏感操作,以便透過 Play Integrity API 提供安全防護,而不要直接拒絕使用者存取。如果情況允許,請先對有風險的流量進行驗證,再允許執行高價值操作。舉例來說,如果應用程式存取風險信號指出應用程式正在執行,可能會擷取螢幕畫面,那麼請先要求使用者停用或解除安裝可能擷取螢幕畫面的應用程式,再讓他們使用您想保護的功能。
服務條款與資料安全性
存取或使用 Play Integrity API 即表示您同意《Play Integrity API 服務條款》。存取 API 前,請先詳閱並瞭解所有適用的條款和政策。
Google Play 提供了資料安全性專區,可讓開發人員揭露應用程式的資料收集、分享和安全性做法,讓使用者掌握相關資訊。為了協助您填寫資料表單,請參閱這裡的資訊,瞭解 Play Integrity API 如何處理資料。