আপনার অ্যাপ নিরাপদ এবং বিশ্বস্ত পরিবেশে চলছে কিনা তা শনাক্ত করতে আপনাকে সহায়তা করার জন্য Google API এবং পরিষেবাগুলির একটি সেট অফার করে৷ কেন্দ্রবিন্দু হল Play Integrity API, যা সম্ভাব্য ঝুঁকিপূর্ণ এবং প্রতারণামূলক মিথস্ক্রিয়া সনাক্ত করে ইন্টারঅ্যাকশনগুলি আসল কিনা তা পরীক্ষা করতে সাহায্য করে। অ্যাপ এবং ডিভাইসের অখণ্ডতা ছাড়াও, Play Integrity API এখন অ্যাক্সেস এবং অ্যাক্সেসিবিলিটি ঝুঁকি , Google Play Protect এবং সাম্প্রতিক ডিভাইস কার্যকলাপ সম্পর্কে তথ্য প্রদান করে। আপনার অ্যান্টি-ফ্রড কৌশলকে আরও শক্ত করতে অ্যান্ড্রয়েড প্ল্যাটফর্ম নির্দিষ্ট পরিস্থিতিগুলির জন্য API অফার করে যা আপনার অ্যাপের সাথে প্রাসঙ্গিক হতে পারে।
Integrity API খেলুন
Play Integrity API আপনাকে তাদের অ্যাপ যে ডিভাইসে চলছে তার নিরাপত্তার অবস্থা সম্পর্কে জানতে দেয়। এটি আপনাকে নিশ্চিত হতে সাহায্য করে যে সঠিক ব্যবহারকারী সংবেদনশীল তথ্য অ্যাক্সেস করছে।
এটি আপনাকে একটি বিশ্বস্ত পরিবেশে আপনার প্রকৃত অ্যাপ বাইনারি থেকে ইন্টারঅ্যাকশন এবং সার্ভারের অনুরোধ আসছে তা পরীক্ষা করতে সহায়তা করে:
- প্রকৃত অ্যাপ বাইনারি : আপনি আপনার অপরিবর্তিত বাইনারির সাথে ইন্টারঅ্যাক্ট করছেন কিনা তা নির্ধারণ করুন যা Google Play স্বীকৃতি দেয়।
- জেনুইন প্লে ইনস্টল : বর্তমান ব্যবহারকারীর অ্যাকাউন্টটি লাইসেন্সপ্রাপ্ত কিনা তা নির্ধারণ করুন, যার মানে ব্যবহারকারী Google Play-তে আপনার অ্যাপ বা গেমের জন্য ইনস্টল করেছেন বা অর্থপ্রদান করেছেন।
- জেনুইন অ্যান্ড্রয়েড ডিভাইস : আপনার অ্যাপটি Google Play পরিষেবা দ্বারা চালিত একটি প্রকৃত অ্যান্ড্রয়েড-চালিত ডিভাইসে চলছে কিনা তা নির্ধারণ করুন।
- পরিচিত ম্যালওয়্যার মুক্ত : Google Play Protect চালু আছে কিনা এবং ডিভাইসে এটি ঝুঁকিপূর্ণ বা বিপজ্জনক অ্যাপ ইনস্টল করা আছে কিনা তা নির্ধারণ করুন।
- অন্যান্য অ্যাপ্লিকেশানগুলির দ্বারা অ্যাক্সেসের কম ঝুঁকি : অন্যান্য অ্যাপ্লিকেশানগুলি চলছে কিনা তা নির্ধারণ করুন যা স্ক্রিন ক্যাপচার করতে পারে বা আপনার অ্যাপে ডিভাইস এবং ইনপুটগুলি নিয়ন্ত্রণ করতে পারে৷
এটি কীভাবে জালিয়াতি প্রশমিত করতে সহায়তা করে
যখন একজন ব্যবহারকারী আপনার অ্যাপে একটি গুরুত্বপূর্ণ ক্রিয়া সম্পাদন করে, আপনি Play Integrity API কল করতে পারেন৷ যদি তা না হয়, তাহলে আপনার অ্যাপের ব্যাকএন্ড সার্ভার সিদ্ধান্ত নিতে পারে আক্রমণ এবং জালিয়াতি থেকে রক্ষা করতে কী করতে হবে। উদাহরণস্বরূপ, আপনার অতিরিক্ত ব্যবহারকারী যাচাইকরণের প্রয়োজন হতে পারে বা সংবেদনশীল কার্যকারিতা অ্যাক্সেস অস্বীকার করতে পারে।
অ্যাপ অ্যাক্সেস ঝুঁকি
অ্যাপ অ্যাক্সেস রিস্ক সিগন্যালটি আপনার অ্যাপটি চলাকালীন বা অ্যাক্সেসিবিলিটি অনুমতি ব্যবহার করে আপনার অ্যাপ অ্যাক্সেস করার সময় ডিভাইসে থাকা অন্যান্য অ্যাপ স্ক্রিন দেখতে এবং ক্যাপচার করতে পারে কিনা তা মূল্যায়ন করতে সাহায্য করার জন্য চালু করা হয়েছিল। যাচাইকৃত অ্যাক্সেসিবিলিটি অ্যাপগুলি স্বয়ংক্রিয়ভাবে এই রায়গুলি থেকে বাদ দেওয়া হয়েছে৷ অ্যাপ অ্যাক্সেস ঝুঁকি ডেভেলপারদের ব্যবহারকারীর গোপনীয়তা রক্ষা করার সময় তাদের অ্যাপগুলিকে সুরক্ষিত করতে সাহায্য করে কারণ অনুরোধ করা অ্যাপ ইনস্টল করা অ্যাপের পরিচয় পায় না এবং রায় ব্যবহারকারী বা ডিভাইস শনাক্তকারীদের সাথে লিঙ্ক করা হয় না।
এই সহযোগিতামূলক প্রচেষ্টার জন্য ধন্যবাদ, আমরা আমাদের গ্রাহকদের আরও কার্যকরভাবে রক্ষা করার জন্য আমাদের গভীর অন্তর্দৃষ্টি দেওয়ার জন্য প্রয়োজনীয় সংকেতগুলি পেতে সক্ষম হয়েছি।
—নুব্যাঙ্ক, প্রারম্ভিক অ্যাক্সেস অংশীদার
অ্যাপ অ্যাক্সেস ঝুঁকির বিভিন্ন ঝুঁকির স্তর রয়েছে:
- একটি ক্যাপচারিং রেসপন্স মানে অন্যান্য অ্যাপ চলছে যা স্ক্রিন ক্যাপচার করতে পারে।
- একটি কন্ট্রোলিং রেসপন্স মানে অন্যান্য অ্যাপ চলছে যা ডিভাইসকে নিয়ন্ত্রণ করতে পারে এবং তাই তারা উভয়ই স্ক্রিন ক্যাপচার করতে পারে এবং আপনার অ্যাপে ইনপুট নিয়ন্ত্রণ করতে পারে।
অ্যাপ অ্যাক্সেস ঝুঁকি এখন পাবলিক বিটাতে উপলব্ধ এবং আগামী মাসগুলিতে সাধারণত উপলব্ধ করা হবে।
অ্যাপ অ্যাক্সেস ঝুঁকি প্রয়োগ
সরাসরি অ্যাক্সেস অস্বীকার করার পরিবর্তে Play Integrity API-এর সাহায্যে সুরক্ষিত রাখতে আপনার অ্যাপ বা গেমে উচ্চ মূল্য বা সংবেদনশীল অ্যাকশন শনাক্ত করুন। যখন সম্ভব, উচ্চ-মূল্যের অ্যাকশনগুলিকে এগিয়ে যাওয়ার অনুমতি দেওয়ার আগে ঝুঁকিপূর্ণ ট্র্যাফিককে চ্যালেঞ্জ করুন। উদাহরণস্বরূপ, যখন অ্যাপ অ্যাক্সেসের ঝুঁকি নির্দেশ করে যে একটি অ্যাপ চলছে যা স্ক্রিন ক্যাপচার করতে পারে, ব্যবহারকারীকে এমন অ্যাপগুলিকে নিষ্ক্রিয় বা আনইনস্টল করতে বলুন যা স্ক্রীন ক্যাপচার করতে পারে এমন কার্যকারিতাতে এগিয়ে যাওয়ার অনুমতি দেওয়ার আগে যা আপনি সুরক্ষিত করতে চান৷
এই টেবিলে কিছু উদাহরণ রায় রয়েছে:
| উদাহরণ অ্যাপ অ্যাক্সেস ঝুঁকি রায় প্রতিক্রিয়া | ব্যাখ্যা |
|---|---|
appsDetected:["KNOWN_INSTALLED"] | শুধুমাত্র এমন অ্যাপ ইনস্টল করা আছে যেগুলি Google Play দ্বারা স্বীকৃত বা ডিভাইস নির্মাতার দ্বারা সিস্টেম পার্টিশনে প্রিলোড করা হয়েছে। এমন কোন অ্যাপ চলছে না যার ফলে ক্যাপচারিং, কন্ট্রোলিং বা ওভারলে রায় হবে। |
appsDetected:["KNOWN_INSTALLED","UNKNOWN_INSTALLED","UNKNOWN_CAPTURING"] | ডিভাইস নির্মাতার দ্বারা সিস্টেম পার্টিশনে Google Play দ্বারা ইনস্টল করা বা প্রিলোড করা অ্যাপ রয়েছে৷ অন্যান্য অ্যাপ চালু আছে এবং অনুমতিগুলি সক্ষম করা আছে যা স্ক্রীন দেখতে বা অন্যান্য ইনপুট এবং আউটপুট ক্যাপচার করতে ব্যবহার করা যেতে পারে। |
appsDetected:["KNOWN_INSTALLED","KNOWN_CAPTURING","UNKNOWN_INSTALLED","UNKNOWN_CONTROLLING"] | এমন প্লে বা সিস্টেম চালু আছে যেগুলির অনুমতিগুলি সক্রিয় রয়েছে যা স্ক্রীন দেখতে বা অন্যান্য ইনপুট এবং আউটপুটগুলি ক্যাপচার করতে ব্যবহার করা যেতে পারে৷ এছাড়াও অন্যান্য অ্যাপ্লিকেশানগুলি চলমান রয়েছে যেগুলির অনুমতিগুলি সক্রিয় রয়েছে যা ডিভাইস নিয়ন্ত্রণ করতে এবং সরাসরি আপনার অ্যাপে ইনপুটগুলি নিয়ন্ত্রণ করতে ব্যবহার করা যেতে পারে৷ |
appAccessRiskVerdict: {} | অ্যাপ অ্যাক্সেস ঝুঁকি মূল্যায়ন করা হয় না কারণ একটি প্রয়োজনীয় প্রয়োজনীয়তা মিস করা হয়েছে। উদাহরণস্বরূপ, ডিভাইসটি যথেষ্ট বিশ্বাসযোগ্য ছিল না। |
রক্ষা সংকেত খেলা
Play Protect সিগন্যাল আপনার অ্যাপকে বলে যে Play Protect চালু আছে কিনা এবং এটি ডিভাইসে পরিচিত ক্ষতিকারক অ্যাপ ইনস্টল করেছে কিনা।
environmentDetails:{
playProtectVerdict: "NO_ISSUES"
}
ম্যালওয়্যার যদি আপনার অ্যাপ বা আপনার ব্যবহারকারীদের ডেটার জন্য একটি বিশেষ উদ্বেগ হয়, তাহলে আপনি এই রায়টি পরীক্ষা করতে পারেন এবং আপনার ব্যবহারকারীদের Play Protect চালু করতে বা এগিয়ে যাওয়ার আগে ক্ষতিকারক অ্যাপগুলি সরাতে বলতে পারেন।
playProtectVerdict নিম্নলিখিত মানগুলির মধ্যে একটি থাকতে পারে:
| রায় | ব্যাখ্যা | প্রস্তাবিত কর্ম |
|---|---|---|
| Play Protect চালু আছে এবং ডিভাইসে কোনো অ্যাপ সমস্যা খুঁজে পায়নি। | Play Protect চালু আছে এবং কোনো সমস্যা খুঁজে পায়নি তাই ব্যবহারকারীর কোনো পদক্ষেপের প্রয়োজন নেই। |
| Play Protect চালু আছে কিন্তু এখনও কোনো স্ক্যান করা হয়নি। ডিভাইস বা প্লে স্টোর অ্যাপটি হয়তো সম্প্রতি রিসেট করা হয়েছে। | Play Protect চালু আছে এবং কোনো সমস্যা খুঁজে পায়নি তাই ব্যবহারকারীর কোনো পদক্ষেপের প্রয়োজন নেই। |
| Play Protect বন্ধ করা আছে। | Play Protect চালু আছে এবং কোনো সমস্যা খুঁজে পায়নি তাই ব্যবহারকারীর কোনো পদক্ষেপের প্রয়োজন নেই। |
| Play Protect চালু আছে এবং ডিভাইসে সম্ভাব্য ক্ষতিকারক অ্যাপ ইনস্টল করা আছে। | আপনার ঝুঁকি সহনশীলতার উপর নির্ভর করে, আপনি ব্যবহারকারীকে Play Protect চালু করতে এবং Play Protect সতর্কতার বিষয়ে পদক্ষেপ নিতে বলতে পারেন। ব্যবহারকারী যদি এই প্রয়োজনীয়তাগুলি পূরণ করতে না পারে তবে আপনি তাদের সার্ভার অ্যাকশন থেকে ব্লক করতে পারেন। |
| Play Protect চালু আছে এবং ডিভাইসে বিপজ্জনক অ্যাপ ইনস্টল করা আছে। | আপনার ঝুঁকি সহনশীলতার উপর নির্ভর করে, আপনি ব্যবহারকারীকে Play Protect চালু করতে এবং Play Protect সতর্কতার বিষয়ে পদক্ষেপ নিতে বলতে পারেন। ব্যবহারকারী যদি এই প্রয়োজনীয়তাগুলি পূরণ করতে না পারে তবে আপনি তাদের সার্ভার অ্যাকশন থেকে ব্লক করতে পারেন। |
| Play Protect রায়ের মূল্যায়ন করা হয়নি। এটি নিম্নলিখিত সহ বিভিন্ন কারণে ঘটতে পারে:
|
সাম্প্রতিক ডিভাইস কার্যকলাপ
আপনি সাম্প্রতিক ডিভাইস ক্রিয়াকলাপেও অপ্ট-ইন করতে পারেন, যা আপনাকে বলে যে আপনার অ্যাপটি গত ঘন্টায় কতবার একটি নির্দিষ্ট ডিভাইসে একটি অখণ্ডতা টোকেন অনুরোধ করেছে৷ আপনি অপ্রত্যাশিত, হাইপারঅ্যাকটিভ ডিভাইসগুলির বিরুদ্ধে আপনার অ্যাপকে রক্ষা করতে সাম্প্রতিক ডিভাইস কার্যকলাপ ব্যবহার করতে পারেন যা একটি সক্রিয় আক্রমণের ইঙ্গিত হতে পারে। আপনি প্রতি ঘন্টায় একটি অখণ্ডতা টোকেন অনুরোধ করার জন্য একটি সাধারণ ডিভাইসে কতবার আপনার অ্যাপ ইনস্টল করার আশা করছেন তার উপর ভিত্তি করে আপনি প্রতিটি সাম্প্রতিক ডিভাইসের কার্যকলাপের স্তরে কতটা বিশ্বাস করবেন তা নির্ধারণ করতে পারেন।
আপনি যদি recentDeviceActivity পেতে অপ্ট-ইন করেন তবে deviceIntegrity ক্ষেত্রের দুটি মান থাকবে:
deviceIntegrity: {
deviceRecognitionVerdict: ["MEETS_DEVICE_INTEGRITY"]
recentDeviceActivity: {
// "LEVEL_2" is one of several possible values.
deviceActivityLevel: "LEVEL_2"
}
}
প্রথমে, আপনার সমস্ত ডিভাইস জুড়ে আপনার অ্যাপের জন্য সাধারণ ডিভাইস কার্যকলাপের স্তরগুলি কী তা দেখতে আপনার ডেটা পরীক্ষা করা উচিত। তারপরে, আপনি সিদ্ধান্ত নিতে পারেন যে একটি ডিভাইস যখন অনেক বেশি অনুরোধ করে তখন আপনার অ্যাপ কীভাবে প্রতিক্রিয়া জানাবে। কার্যকলাপ একটু বেশি হলে, আপনি ব্যবহারকারীকে পরে আবার চেষ্টা করতে বলতে চাইতে পারেন। যদি কার্যকলাপ খুব বেশি হয়, তাহলে আপনি শক্তিশালী প্রয়োগকারী পদক্ষেপ নিতে চাইতে পারেন।
স্ট্যান্ডার্ড বনাম ক্লাসিক অনুরোধ
আপনার Play Integrity বাস্তবায়নের অংশ হিসেবে, দুই ধরনের অনুরোধ বিবেচনা করা গুরুত্বপূর্ণ। দ্রুততম প্রতিক্রিয়া প্রদান করতে আপনার বেশিরভাগ ক্ষেত্রেই মানক অনুরোধগুলি ব্যবহার করা উচিত - এবং ক্লাসিক অনুরোধগুলি ব্যবহার করা উচিত যেখানে ডিভাইসের প্রত্যয়ন রেকর্ডের বিরুদ্ধে একটি নতুন জেনারেট করা অনুরোধ প্রয়োজন৷
ক্লাসিক অনুরোধ | স্ট্যান্ডার্ড অনুরোধ |
|---|---|
অনুরোধগুলি বেশি সময় নেয় এবং কম ঘন ঘন করা উচিত। উদাহরণস্বরূপ, একটি অত্যন্ত মূল্যবান বা সংবেদনশীল ক্রিয়া আসল কিনা তা পরীক্ষা করার জন্য মাঝে মাঝে ওয়ান-অফ হিসাবে। কদাচিৎ ব্যবহার করুন । | অনুরোধগুলি কম বিলম্বিত এবং চাহিদা অনুযায়ী ব্যবহার করা যেতে পারে। একটি আদর্শ অনুরোধ দুটি অংশ নিয়ে গঠিত:
চাহিদা অনুযায়ী ব্যবহার করুন । |
স্ট্যান্ডার্ড এবং ক্লাসিক অনুরোধ সম্পর্কে আরও তথ্যের জন্য Play Integrity ডকুমেন্টেশন পড়ুন।
বাস্তবায়ন
Play Integrity API দিয়ে শুরু করতে:
- আপনার Google Play কনসোলে Play Integrity API প্রতিক্রিয়া সক্ষম করুন এবং একটি Google ক্লাউড প্রকল্পের সাথে লিঙ্ক করুন।
- আপনার অ্যাপে Play Integrity API ইন্টিগ্রেট করুন ।
- আপনি কিভাবে রায় পরিচালনা করবেন তা নির্ধারণ করুন।
ডিফল্টরূপে, Play Integrity API প্রতিদিন প্রতি অ্যাপে 10K পর্যন্ত অনুরোধের অনুমতি দেয়। আপনার দৈনিক সর্বোচ্চ অনুরোধ বাড়ানোর আগ্রহ প্রকাশ করতে, এই নির্দেশাবলী অনুসরণ করুন । আপনার দৈনিক সর্বোচ্চ সংখ্যক অনুরোধ বৃদ্ধির জন্য যোগ্য হওয়ার জন্য, আপনার অ্যাপটিকে অবশ্যই Play Integrity API সঠিকভাবে প্রয়োগ করতে হবে এবং অন্য যেকোনো ডিস্ট্রিবিউশন চ্যানেল ছাড়াও Google Play-এ উপলব্ধ হতে হবে।
Play Integrity API-এর জন্য যে বিষয়গুলি মাথায় রাখতে হবে৷
- প্লে ইন্টিগ্রিটি এপিআই-এর প্রতিক্রিয়াগুলির ত্রুটিগুলি যথাযথভাবে পরিচালনা করা অপরিহার্য। ত্রুটি কোডের উপর ভিত্তি করে পুনরায় চেষ্টা এবং প্রয়োগের কৌশল সম্পর্কে এখানে নির্দেশিকা অনুসরণ করুন।
- প্লে ইন্টিগ্রিটি এপিআই প্রতিক্রিয়ার জন্য টেস্টিং টুল অফার করে।
- আপনার ডিভাইস থেকে অখণ্ডতার ফলাফল দেখতে, এই পদক্ষেপগুলি অনুসরণ করুন ৷
- Play Integrity API ব্যবহার করে প্রস্তাবিত অনুশীলনের জন্য এই নিরাপত্তা বিবেচনাগুলি পড়ুন।
স্বয়ংক্রিয় অখণ্ডতা সুরক্ষা (API >= 23)
স্বয়ংক্রিয় অখণ্ডতা সুরক্ষা হল একটি অ্যান্টি-টেম্পার কোড সুরক্ষা পরিষেবা যা অননুমোদিত পরিবর্তন এবং পুনঃবন্টনের আকারে অখণ্ডতার অপব্যবহারের বিরুদ্ধে আপনার অ্যাপকে রক্ষা করে৷ এটি কোনও ডেটা সংযোগ ছাড়াই কাজ করে এবং পরীক্ষার আগে কোনও বিকাশকারীর কাজ এবং কোনও ব্যাকএন্ড সার্ভার ইন্টিগ্রেশনের প্রয়োজন হয় না।
এটি কীভাবে জালিয়াতি প্রশমিত করতে সহায়তা করে
আপনি যখন স্বয়ংক্রিয় অখণ্ডতা সুরক্ষা চালু করেন, তখন Google Play আপনার অ্যাপের কোডে চেক যোগ করে এবং উন্নত অস্পষ্টতা এবং অ্যান্টি-রিভার্স ইঞ্জিনিয়ারিং কৌশলগুলির সাহায্যে সেগুলি সরানো কঠিন করে তোলে। রানটাইমে, সুরক্ষা চেক করে যে আপনার অ্যাপটি টেম্পার করা হয়েছে বা পুনরায় বিতরণ করা হয়েছে:
- ইনস্টলার চেক ব্যর্থ হলে, ব্যবহারকারীদের Google Play-তে আপনার অ্যাপ পেতে অনুরোধ করা হবে
- পরিবর্তন চেক ব্যর্থ হলে, অ্যাপ্লিকেশন চালানো হবে না
এটি ব্যবহারকারীদের আপনার অ্যাপের পরিবর্তিত সংস্করণ থেকে নিরাপদ রাখতে সাহায্য করে।
বাস্তবায়ন
স্বয়ংক্রিয় অখণ্ডতা সুরক্ষা এই সময়ে শুধুমাত্র Play Partners নির্বাচন করার জন্য উপলব্ধ। আপনার Google Play কনসোলে বৈশিষ্ট্যটি উপলব্ধ না থাকলে এবং আপনি অ্যাক্সেস পাওয়ার আগ্রহ প্রকাশ করতে চাইলে Google Play বিকাশকারী সহায়তার সাথে যোগাযোগ করুন৷
আপনি একটি রিলিজ তৈরি করার সময় সুরক্ষা চালু করতে পারেন বা অ্যাপ ইন্টিগ্রিটি পৃষ্ঠায় (রিলিজ > অ্যাপ ইন্টিগ্রিটি)। স্বয়ংক্রিয় অখণ্ডতা সুরক্ষার জন্য আপনার অ্যাপকে Play অ্যাপ সাইনিং ব্যবহার করতে হবে।
রিলিজকে প্রোডাকশনে উন্নীত করার আগে আপনার সুরক্ষিত অ্যাপটি পরীক্ষা করতে ভুলবেন না ।
বিষয়গুলো মাথায় রাখতে হবে
- অরক্ষিত অ্যাপ সংস্করণ প্রকাশ করবেন না
- অ্যান্টি-টেম্পার সুরক্ষা সমাধানগুলি মেশানোর সময় যত্ন নিন
- প্রোডাকশনে রিলিজ করার আগে আপনার সুরক্ষিত অ্যাপটি পরীক্ষা করুন
- ক্র্যাশের যেকোনো বৃদ্ধির জন্য স্বাভাবিক হিসাবে পরিসংখ্যান নিরীক্ষণ করুন
- আপনি Google Play-তে আপনার অ্যাপের ক্র্যাকড ভার্সন রিপোর্ট করতে পারেন