Nell'ecosistema mobile, l'abuso può minacciare le entrate, la crescita e la fiducia degli utenti. Per aiutare gli sviluppatori a prosperare, Google Play offre un servizio di rilevamento delle minacce resiliente, l'API Play Integrity. L'API Play Integrity ti aiuta a verificare che le interazioni e le richieste del server siano autentiche, ovvero che provengano dalla tua app non modificata su un dispositivo Android certificato, installata da Google Play.

L'impatto è significativo: le app che utilizzano le funzionalità di Play Integrity registrano in media un utilizzo non autorizzato inferiore dell'80% rispetto alle altre app. Oggi, leader di diverse categorie, tra cui Uber, TikTok, Stripe, Kabam, Wooga, Radar.com, Zimperium, Paytm e Remini, lo utilizzano per proteggere le loro attività.

Continuiamo a migliorare l'API Play Integrity, rendendola più facile da integrare, più resiliente agli attacchi sofisticati e più efficace nel recupero degli utenti che non soddisfano gli standard di integrità o riscontrano errori con i nuovi prompt di correzione in-app di Play.

Rilevare le minacce alla tua attività

L'API Play Integrity offre esiti progettati per rilevare minacce specifiche che influiscono sui tuoi profitti durante le interazioni critiche.

• Accesso non autorizzato: l'esito accountDetails ti aiuta a stabilire se l'utente ha installato o pagato la tua app o il tuo gioco su Google Play.
• Manomissione del codice: l'esito appIntegrity ti aiuta a stabilire se stai interagendo o meno con il tuo file binario non modificato riconosciuto da Google Play.
• Dispositivi rischiosi e ambienti emulati: l'esito deviceIntegrity ti aiuta a determinare se la tua app è in esecuzione su un dispositivo Android originale con certificazione Play Protect o su un'istanza originale di Google Play Games per PC.
• Dispositivi senza patch: per i dispositivi con Android 13 e versioni successive, la risposta MEETS_STRONG_INTEGRITY nell'esito deviceIntegrity ti aiuta a determinare se un dispositivo ha applicato aggiornamenti della sicurezza recenti. Puoi anche attivare deviceAttributes per includere la versione dell'SDK Android attestata nella risposta.
• Accesso rischioso da parte di altre app: l'esito appAccessRiskVerdict ti aiuta a determinare se sono in esecuzione app che potrebbero essere utilizzate per acquisire la schermata, mostrare overlay o controllare il dispositivo (ad esempio, tramite l'uso improprio dell'autorizzazione di accessibilità). Questo verdetto esclude automaticamente le app che hanno scopi di accessibilità autentici.
• Malware noti: playProtectVerdict ti aiuta a stabilire se Google Play Protect è attivo e se ha trovato app rischiose o pericolose installate sul dispositivo.
• Iperattività:il livello recentDeviceActivity ti aiuta a determinare se un dispositivo ha effettuato un volume di richieste di token di integrità anomalo di recente, il che potrebbe indicare traffico automatizzato e potrebbe essere un segnale di attacco.
• Abuso ripetuto e riutilizzo dei dispositivi:deviceRecall (beta) ti aiuta a determinare se stai interagendo con un dispositivo che hai già segnalato, anche se la tua app è stata reinstallata o il dispositivo è stato ripristinato. Con il richiamo del dispositivo, puoi personalizzare le azioni ripetute che vuoi monitorare.

L'API può essere utilizzata su tutti i fattori di forma Android, inclusi smartphone, tablet, pieghevoli, Android Auto, Android TV, Android XR, ChromeOS, Wear OS e su Google Play Games per PC.

Sfruttare al meglio l'API Play Integrity

Le app e i giochi hanno avuto successo con l'API Play Integrity seguendo le considerazioni sulla sicurezza e adottando un approccio graduale alla strategia anti-abuso.

Passaggio 1: decidi cosa vuoi proteggere: decidi quali azioni e richieste del server nelle tue app e nei tuoi giochi sono importanti da verificare e proteggere. Ad esempio, potresti eseguire controlli di integrità quando un utente avvia l'app, esegue l'accesso, partecipa a una partita multigiocatore, genera contenuti AI o trasferisce denaro.

Passaggio 2: raccogli le risposte dell'esito relativo all'integrità: esegui controlli di integrità in momenti importanti per iniziare a raccogliere i dati dell'esito, senza applicazione iniziale. In questo modo, puoi analizzare le risposte per la tua base installata e vedere come sono correlate ai tuoi indicatori di abuso esistenti e ai dati storici sugli abusi.

Passaggio 3: decidi la strategia di applicazione: decidi la strategia di applicazione in base all'analisi delle risposte e a ciò che stai cercando di proteggere. Ad esempio, potresti modificare il traffico rischioso in momenti importanti per proteggere funzionalità sensibili. L'API offre una gamma di risposte che ti consentono di implementare una strategia di applicazione forzata a più livelli in base al livello di attendibilità che assegni a ogni combinazione di risposte.

Passaggio 4: implementa gradualmente l'applicazione e fornisci assistenza agli utenti:implementa gradualmente l'applicazione. Avere una strategia di nuovi tentativi quando i verdetti presentano problemi o non sono disponibili ed essere pronti ad assistere gli utenti legittimi che hanno problemi. I nuovi prompt di correzione in-app di Google Play, descritti di seguito, rendono più facile che mai riportare gli utenti con problemi a uno stato ottimale.

NOVITÀ: Consenti a Google Play di recuperare automaticamente gli utenti con problemi

Decidere come rispondere ai diversi indicatori di integrità può essere complesso, devi gestire varie risposte di integrità e codici di errore dell'API (come problemi di rete o servizi Google Play obsoleti). Stiamo semplificando la procedura con nuovi prompt di correzione in-app di Google Play. Puoi mostrare ai tuoi utenti un prompt di Google Play per risolvere automaticamente un'ampia gamma di problemi direttamente all'interno della tua app. In questo modo si riduce la complessità dell'integrazione, si garantisce un'interfaccia utente coerente e si aiuta un maggior numero di utenti a ripristinare un buono stato.

GET_INTEGRITY rileva automaticamente il problema (in questo esempio, un errore di rete) e lo risolve.

Puoi attivare la finestra di dialogo GET_INTEGRITY, disponibile nella libreria dell'API Play Integrity versione 1.5.0 e successive, dopo una serie di problemi per guidare automaticamente l'utente attraverso le correzioni necessarie, tra cui:

• Accesso non autorizzato: GET_INTEGRITY reindirizza l'utente a una risposta con licenza di Play in accountDetails.
• Manomissione del codice:GET_INTEGRITY reindirizza l'utente a una risposta riconosciuta da Play in appIntegrity.
• Problemi di integrità del dispositivo: GET_INTEGRITY guida l'utente su come tornare allo stato MEETS_DEVICE_INTEGRITY in deviceIntegrity.
• Codici di errore correggibili:GET_INTEGRITY risolve gli errori API correggibili, ad esempio chiedendo all'utente di correggere la connettività di rete o di aggiornare Google Play Services.

Offriamo anche finestre di dialogo specializzate, tra cui  GET_STRONG_INTEGRITY (che funziona come GET_INTEGRITY, ma riporta anche l'utente allo stato MEETS_STRONG_INTEGRITY senza problemi di malware noti nel playProtectVerdict), GET_LICENSED (che riporta l'utente a uno stato con licenza Play e riconosciuto da Play) e CLOSE_UNKNOWN_ACCESS_RISK e CLOSE_ALL_ACCESS_RISK (che chiedono all'utente di chiudere le app potenzialmente rischiose).

Scegliere soluzioni di integrità moderne

Oltre all'API Play Integrity, Google offre diverse altre funzionalità da prendere in considerazione nell'ambito della tua strategia anti-abuso complessiva. Sia l'API Play Integrity sia la protezione automatica di Google Play offrono vantaggi per l'esperienza utente e per gli sviluppatori per salvaguardare la distribuzione delle app. Invitiamo le app esistenti a eseguire la migrazione a queste moderne soluzioni di integrità anziché utilizzare la libreria legacy Google Play Licensing.

Protezione automatica: impedisci l'accesso non autorizzato con la Protezione automatica di Google Play e assicurati che gli utenti continuino a ricevere gli aggiornamenti ufficiali della tua app. Attivala e Google Play aggiungerà automaticamente un controllo del programma di installazione al codice della tua app, senza richiedere alcun intervento di integrazione da parte dello sviluppatore. Se la tua app protetta viene ridistribuita o condivisa tramite un altro canale, all'utente verrà chiesto di scaricarla da Google Play. Gli sviluppatori di Google Play idonei hanno anche accesso alla protezione dalle manomissioni avanzata di Google Play, che utilizza l'offuscamento e i controlli di runtime per rendere più difficile e costoso per gli utenti malintenzionati modificare e ridistribuire le app protette.

Attestazione di chiavi della piattaforma Android : l'API Play Integrity è il modo consigliato per usufruire dell'attestazione di chiavi della piattaforma Android con crittografia hardware. L'API Play Integrity si occupa dell'implementazione sottostante nell'ecosistema dei dispositivi, Play mitiga automaticamente i problemi e le interruzioni correlate alle chiavi e puoi utilizzare l'API per rilevare altre minacce. Gli sviluppatori che implementano direttamente l'attestazione di chiavi anziché fare affidamento all'API Play Integrity devono prepararsi alla prossima rotazione del certificato radice della piattaforma Android a febbraio 2026 per evitare interruzioni (gli sviluppatori che utilizzano l'API Play Integrity non devono intraprendere alcuna azione).

Firebase App Check: gli sviluppatori che utilizzano Firebase possono utilizzare Firebase App Check per ricevere un esito relativo all'integrità dell'app e del dispositivo basato sull'API Play Integrity su dispositivi Android certificati, insieme alle risposte di altri fornitori di attestazione della piattaforma. Per rilevare tutte le altre minacce e utilizzare altre funzionalità di Google Play, integra direttamente l'API Play Integrity.

reCAPTCHA Enterprise: i clienti aziendali che cercano una soluzione completa di gestione di frodi e bot possono acquistare reCAPTCHA Enterprise per il mobile. reCAPTCHA Enterprise utilizza alcuni indicatori antiabuso dell'API Play Integrity e li combina con gli indicatori reCAPTCHA predefiniti.

Proteggi la tua attività oggi stesso

Grazie a una solida base di sicurezza con crittografia hardware e a nuove finestre di dialogo di correzione automatica che semplificano l'integrazione, l'API Play Integrity è uno strumento essenziale per proteggere la tua crescita.

Inizia a utilizzare la documentazione dell'API Play Integrity.