Google, uygulamanızın Google'a ait olup olmadığını tespit etmenize yardımcı olacak bir dizi API ve hizmet sunar. güvenli bir ortamda çalışıyor olmak. Oyunun merkezinde Play Integrity var Potansiyel müşterileri tespit ederek etkileşimlerin gerçek olup olmadığını kontrol etmeye yardımcı olan API etkileşimlerine neden olabilir. Play, uygulama ve cihaz bütünlüğünün yanı sıra Integrity API artık erişim ve erişilebilirlik riskleri hakkında bilgi sunuyor. Google Play Protect ve son cihaz etkinliği. Daha da sağlamlaştırmak için Android platformu, sahtekarlıkla mücadele stratejiniz için belirli senaryolar için API'ler sunar. alakalı olabilir.
Play Integrity API
Play Integrity API, cihazınızın güvenlik durumu hakkında uygulama oldukça iyidir. Böylece doğru kullanıcının hassas bilgilere erişiyor.
Etkileşimlerin ve sunucu isteklerinin güvenilir bir ortamda orijinal uygulama ikili programı:
- Orijinal uygulama ikili programı: Google Play tarafından tanınan değiştirilmemiş ikili program.
- Orijinal Play yüklemesi: Mevcut kullanıcı hesabının yani kullanıcı, uygulamanızı veya oyununuzu Google Play
- Orijinal Android cihaz: Uygulamanızın orijinal bir cihaz olup olmadığını belirleyin Google Play Hizmetleri tarafından desteklenen Android destekli cihaz.
- Bilinen kötü amaçlı yazılımlardan arındırılmış: Google Play Protect'in açık olup olmadığını belirleyin ve cihazda riskli ya da tehlikeli uygulamalar bulup bulmadığı gibi bilgileri içerir.
- Diğer uygulamaların erişim riski düşük: Başka uygulamaların çalışıp çalışmadığını belirleyin. veya giriş yapabilen bir cihaz kullanın.
Bu sayede sahtekarlığın azaltılmasına nasıl yardımcı olur?
Bir kullanıcı, uygulamanızda önemli bir işlem gerçekleştirdiğinde, Google Play'e Integrity API'ye dokunun. Karşılanmadıysa uygulamanızın arka uç sunucusu, saldırı ve sahtekarlığa karşı kendinizi savunmak için ne yapması gerektiğini söyler. Örneğin, ekip arkadaşlarınızın ek kullanıcı doğrulaması yapabilir veya hassas işlevlere erişimi reddedebilirsiniz.
Uygulamaya Erişim Riski
Diğer uygulamaların erişim durumunu değerlendirmenize yardımcı olmak için Uygulama Erişimi Riski sinyali bir cihazdaki uygulamalar, uygulamanız etkinken ekranı görüntülüyor ve yakalıyor olabilir. erişilebilirlik izinlerini kullanarak uygulamanızı çalıştırma veya ona erişme Doğrulandı erişilebilirlik uygulamaları otomatik olarak bu kararların dışında tutulur. Uygulama erişimi risk, geliştiricilerin kullanıcı gizliliğini korurken uygulamalarını korumasına yardımcı olur çünkü istekte bulunan uygulama, yüklü uygulamaların kimliğini ve kullanıcı veya cihaz tanımlayıcılarına bağlı değil.
Bu ortak çalışma sayesinde, şu açılardan çok daha geniş bir müşteri kitlesine ulaşmak için koruyabilmemiz için bize daha derin analizler sunuyor.
. —Nubank, erken erişim iş ortağı
Uygulamaya Erişim Riski farklı risk seviyelerine sahiptir:
- Yakalama yanıtı, ekranı kaydedebilen diğer uygulamaların çalıştığı anlamına gelir.
- Yanıt denetleyici, diğer uygulamaların çalıştığı ve bunu kontrol edebilen ve dolayısıyla hem ekranı yakalayabilir hem de girişleri kontrol edebilir uygulamanıza.
Uygulamaya erişim riski şu anda herkese açık beta sürümünde mevcuttur ve genel kullanıma sunulacaktır önümüzdeki aylarda kullanıma sunulacak.
Uygulamaya Erişim Riski yaptırımı
Uygulama veya oyununuzda yüksek değerli ya da hassas işlemleri tanımlayarak Erişimi tamamen reddetmek yerine Play Integrity API'yi kullanın. Mümkünse meydan okuyun riskli trafiği tespit eder. Örneğin, bir uygulamanın çalıştığını ve ekranını kaydedebilecek uygulamaları devre dışı bırakmasını veya kaldırmasını isteyin korumak istediğiniz işlevlere devam etmelerine izin vermeden önce.
Aşağıdaki tabloda bazı örnek kararlar verilmiştir:
| Uygulama erişim riski kararıyla ilgili örnek yanıt | Yorumlama |
|---|---|
appsDetected:["KNOWN_INSTALLED"]
|
Yalnızca Google Play tarafından tanınan yüklü uygulamalar vardır veya cihaz üreticisi tarafından sistem bölümüne önceden yüklenmiştir. Veri yakalamaya neden olacak şekilde çalışan uygulama yok. bir süreçtir. |
appsDetected:["KNOWN_INSTALLED","UNKNOWN_INSTALLED","UNKNOWN_CAPTURING"]
|
Google Play tarafından yüklenen veya cihaz üreticisi tarafından sağlanan sistem bölümüdür. Çalışan ve aşağıdaki işlemleri gerçekleştirebilecek izinler etkinleştirilmiş başka uygulamalar vardır veya diğer giriş ve çıkışları yakalamak için kullanılır. |
appsDetected:["KNOWN_INSTALLED","KNOWN_CAPTURING","UNKNOWN_INSTALLED","UNKNOWN_CONTROLLING"]
|
Google Play, otomatik olarak çalışan Google Play ve ekranı görüntülemek veya diğer giriş ve çıkışları yakalamak için kullanılabilir. Ayrıca, çalışan başka uygulamalar da vardır. Bu uygulamalar Bu şekilde cihazı kontrol etmek ve girişleri doğrudan en iyi şekilde yararlanabilirsiniz. |
appAccessRiskVerdict: {}
|
Koşullardan biri geçerli olduğundan uygulamaya erişim riski değerlendirilmedi teslim edilmedi. Örneğin, cihaz yeterince güvenilir değildir. |
Play Protect Sinyali
Play Protect Sinyali, uygulamanıza Play Protect'in açık olup olmadığını bildirir ve cihazda bilinen zararlı uygulamalar bulup bulmadığını kontrol eder.
environmentDetails:{
playProtectVerdict: "NO_ISSUES"
}
Kötü amaçlı yazılım, uygulamanız veya kullanıcılarınızın güvenliği açısından verileri nasıl kullanacağınızı bu kararı kontrol edin ve kullanıcılarınızdan Play Protect'i etkinleştirmelerini veya zararlı öğeleri kaldırmalarını isteyin. uygulamalarını inceleyin.
playProtectVerdict, şu değerlerden birine sahip olabilir:
| Sonuç | Açıklama | Önerilen işlem |
|---|---|---|
|
Play Protect etkindir ve şurada uygulama sorunu tespit etmemiştir: olanak tanır. |
Play Protect açık ve herhangi bir sorun tespit etmediğinden kullanıcı işlemi yok gereklidir. |
|
Play Protect etkindir ancak henüz tarama yapılmamıştır. İlgili içeriği oluşturmak için kullanılan cihaz ya da Play Store uygulaması kısa süre önce sıfırlanmış olabilir. |
Play Protect açık ve herhangi bir sorun tespit etmediğinden kullanıcı işlemi yok gereklidir. |
|
Play Protect devre dışı. |
Play Protect açık ve herhangi bir sorun bulamadığından kullanıcı işlemi yapmadı gereklidir. |
|
Play Protect etkinleştirildi ve zararlı olabilecek uygulamalar buldu Cihazda yüklü olmalıdır. |
Risk toleransınıza bağlı olarak kullanıcıdan ilk adımı atmasını isteyebilirsiniz. Play Protect ve Play Protect uyarılarıyla ilgili işlem yapma. Kullanıcı bu gereksinimleri karşılayamazsanız bunları sunucuda engelleyebilirsiniz eyleme dökülebilir. |
|
Play Protect etkinleştirildi ve tehlikeli uygulamaların yüklü olduğunu tespit etti cihaz üzerinde. |
Risk toleransınıza bağlı olarak kullanıcıdan ilk adımı atmasını isteyebilirsiniz. Play Protect ve Play Protect uyarılarıyla ilgili işlem yapma. Kullanıcı bu koşulları yerine getiremezlerse sunucu işlemi olabilir. |
|
Play Protect kararı değerlendirilmedi. Bu aşağıdakiler dahil olmak üzere çeşitli nedenlerle ortaya çıkabilir:
|
Son cihaz etkinliği
Ayrıca, son cihaz etkinliğini almayı da tercih edebilirsiniz. Bu özellik, kullanıcıların uygulamanızı Uygulamanız son bir saat içinde belirli bir cihazda bütünlük jetonu istedi. Siz uygulamanızı beklenmedik durumlara karşı korumak için son cihaz etkinliğini kullanabilir, aktif bir saldırının göstergesi olabilecek hiperaktif cihazlar. Şunları yapabilirsiniz: son cihaz etkinliği düzeylerine ne kadar güvenileceğine uygulamanızın tipik bir cihazda bütünlük isteğinde bulunmasını beklediğiniz süre olduğunu fark edebilirsiniz.
recentDeviceActivity almayı etkinleştirirseniz deviceIntegrity alanı
iki değere sahip olmalıdır:
deviceIntegrity: {
deviceRecognitionVerdict: ["MEETS_DEVICE_INTEGRITY"]
recentDeviceActivity: {
// "LEVEL_2" is one of several possible values.
deviceActivityLevel: "LEVEL_2"
}
}
Öncelikle, tipik cihaz etkinliği düzeylerini görmek için verileri kontrol etmeniz gerekir tüm cihazlarınızda gösterilir. Ardından, uygulamanızın bir cihaz çok fazla istekte bulunduğunda yanıt vermelidir. Etkinlik değeri düşükse, kullanıcıdan daha sonra tekrar denemesini isteyebilirsiniz. Etkinlik çok yüksekse daha güçlü bir yaptırım işlemi uygulamak isteyebilirsiniz.
Standart ve klasik istekler karşılaştırması
Play Integrity'yi uygularken şu noktalara dikkat etmeniz önemlidir: iki talep türü vardır. Çoğu durumda standart istekleri kullanmalısınız. özelliğini kullanın. Klasik isteklerin aşağıdaki durumlarda kullanılması gerekir: cihaz onay kaydı için yeni oluşturulmuş bir istek gerekiyor.
Klasik istek |
Standart istek |
|---|---|
İstekler daha uzun sürer ve daha seyrek yapılır. Örneğin, çok değerli ya da e-posta gönderenlerin çok değerli olup olmadığını hassas bir eylemde bulunmak içtendir. Nadiren kullanın. |
İstekler düşük gecikmelidir ve isteğe bağlı olarak kullanılabilir. Standart bir istek iki bölümden oluşur:
İsteğe bağlı kullanım. |
Standart ve uygulamalar hakkında daha fazla bilgi için Play Integrity dokümanlarını okuyun klasik istekler.
Uygulama
Play Integrity API'yi kullanmaya başlamak için:
- Google Play Console'da ve bağlantıda Play Integrity API yanıtlarını etkinleştirin Google Cloud projesine örnektir.
- Play Integrity API'yi uygulamanıza entegre edin.
- Kararları nasıl ele alacağınıza karar verin.
Play Integrity API, uygulama başına günde 10 bine kadar isteğe izin verir. Alıcı: günlük maksimum istek sayınızı artırmak istiyorsanız aşağıdaki talimatları inceleyin. Günlük maksimum tutarınızı artırabilmek için uygulamanızın Play Integrity API'yi doğru şekilde uygulaması ve ve diğer dağıtım kanallarında bulabilirsiniz.
Play Integrity API ile ilgili dikkat edilmesi gereken noktalar
- Play Integrity API yanıtlarındaki hataları düzeltmeniz gerekir. sağlayabilir. Yeniden deneme ve yaptırım stratejileriyle ilgili kılavuzu inceleyin. hata kodlarına göre belirlenir.
- Play Integrity API, yanıtlar için test araçları sunar.
- Cihazınızdan bütünlük sonucunu görmek için bu adımları uygulayın.
- Play Integrity API.
Otomatik Bütünlük Koruması (API >= 23)
Otomatik Bütünlük Koruması, bir kurcalama karşıtı kod koruması hizmetidir. uygulamanızı, yetkisiz erişim yöntemi ve kimlikle bütünlüğün kötüye kullanımına karşı korur ve yeniden dağıtımdan bahsedeceğiz. Veri bağlantısı olmadan çalışır ve testten önce geliştiricinin herhangi bir işlem yapması ve arka uç sunucu entegrasyonu gerekmez.
Bu sayede sahtekarlığın azaltılmasına nasıl yardımcı olur?
Otomatik Bütünlük Koruması'nı etkinleştirdiğinizde Google Play, gelişmiş kod karartma ve kod karartma ile bunların kaldırılmasını zorlaştırır. teknikleri. Çalışma zamanında koruma, Uygulama üzerinde oynandığında veya yeniden dağıtıldığından:
- Yükleyici denetimi başarısız olursa kullanıcılardan Google Play'de uygulamanızı indirmeleri istenir
- Değişiklik denetimi başarısız olursa uygulama çalışmaz
Bu, kullanıcıları uygulamanızın değiştirilmiş sürümlerinden korumaya yardımcı olur.
Uygulama
Otomatik Bütünlük Koruması, şu anda yalnızca belirli Play iş ortakları tarafından kullanılabilir gerekir. Özellik şurada kullanılamıyorsa Google Play geliştirici desteğiyle iletişime geçin: ve aşağıdaki avantajlardan yararlanmak istediğinizi erişim.
Korumayı sürüm oluştururken veya Uygulama bütünlüğü sayfası (Sürüm > Uygulama bütünlüğü). Otomatik bütünlük koruması için uygulamanızın Play Uygulama İmzalama kullanması gerekir.
Korunan uygulamanızı sürümünü tanıtmadan önce test etmeyi unutmayın. üretim) gerekir.
Göz önünde bulundurulması gereken noktalar
- Korumasız uygulama sürümlerini yayınlamayın
- Kurcalama koruması çözümlerini bir arada kullanırken dikkatli olma
- Korunan uygulamanızı üretim sürümüne yayınlamadan önce test etme
- Kilitlenmelerdeki artış için istatistikleri normal şekilde izleyin
- Uygulamanızın kırılmış sürümlerini Google Play'e bildirebilirsiniz