No ecossistema de dispositivos móveis, o abuso pode ameaçar sua receita, crescimento e confiança do usuário. Para ajudar os desenvolvedores, o Google Play oferece um serviço resiliente de detecção de ameaças, a API Play Integrity. A API Play Integrity ajuda a verificar se as interações e solicitações de servidor são genuínas, ou seja, se vêm do seu app não modificado em um dispositivo Android certificado, instalado pelo Google Play.

O impacto é significativo: os apps que usam os recursos da Play Integrity têm 80% menos uso não autorizado em comparação com os outros, em média. Atualmente, líderes de diversas categorias, incluindo Uber, TikTok, Stripe, Kabam, Wooga, Radar.com, Zimperium, Paytm e Remini, usam essa API para proteger seus negócios.

Continuamos aprimorando a API Play Integrity, tornando-a mais fácil de integrar, mais resiliente contra ataques sofisticados e melhor na recuperação de usuários que não atendem aos padrões de integridade ou encontram erros com novos avisos de correção no app do Google Play.

Detectar ameaças à sua empresa

A API Play Integrity oferece vereditos projetados para detectar ameaças específicas que afetam seus resultados financeiros durante interações críticas.

• Acesso não autorizado: o veredito accountDetails ajuda a determinar se o usuário instalou ou pagou pelo app ou jogo no Google Play.
• Adulteração de código: o veredito appIntegrity ajuda a determinar se você está interagindo com o binário não modificado reconhecido pelo Google Play.
• Dispositivos de risco e ambientes emulados: o deviceIntegrity veredito ajuda a determinar se o app está sendo executado em um dispositivo Android certificado pelo Play Protect ou em uma instância oficial do Google Play Games para PC.
• Dispositivos sem patch: para dispositivos com o Android 13 e versões mais recentes, a resposta MEETS_STRONG_INTEGRITY no veredito deviceIntegrity ajuda a determinar se um dispositivo aplicou atualizações de segurança recentes. Você também pode ativar deviceAttributes para incluir a versão atestada do SDK do Android na resposta.
• Acesso de risco por outros apps:o appAccessRiskVerdict ajuda a determinar se há apps em execução que podem ser usados para capturar a tela, mostrar sobreposições ou controlar o dispositivo (por exemplo, usando indevidamente a permissão de acessibilidade). Esse veredito exclui automaticamente os apps que atendem a propósitos de acessibilidade genuínos.
• Malware conhecido:o playProtectVerdict ajuda a determinar se o Google Play Protect está ativado e se encontrou apps de risco ou perigosos instalados no dispositivo.
• Hiperatividade:o nível recentDeviceActivity ajuda a identificar se um dispositivo realizou um volume anormal de solicitações de token de integridade recentemente. Isso pode indicar tráfego automatizado e servir como sinal de um possível ataque.
• Abuso repetido e dispositivos reutilizados:o deviceRecall (Beta) ajuda a determinar se você está interagindo com um dispositivo que já foi sinalizado, mesmo que o app tenha sido reinstalado ou o dispositivo tenha sido redefinido. Com o reconhecimento do dispositivo, é possível personalizar as ações repetidas que você quer rastrear.

A API pode ser usada em formatos do Android, incluindo smartphones, tablets, dobráveis, Android Auto, Android TV, Android XR, ChromeOS, Wear OS e no Google Play Games para PC.

Aproveitar ao máximo a API Play Integrity

Os apps e jogos tiveram sucesso com a API Play Integrity seguindo as considerações de segurança e adotando uma abordagem gradual para a estratégia antiabuso.

Etapa 1: decidir o que você quer proteger: decida quais ações e solicitações de servidor nos seus apps e jogos são importantes para verificar e proteger. Por exemplo, você pode realizar verificações de integridade quando um usuário inicia o app, faz login, entra em um jogo multiplayer, gera conteúdo de IA ou transfere dinheiro.

Etapa 2: coletar respostas de veredito de integridade: realize verificações de integridade em momentos importantes para começar a coletar dados de veredito, sem aplicação inicialmente. Dessa forma, você pode analisar as respostas da sua base instalada e ver como elas se correlacionam com os indicadores de abuso e dados históricos de abuso.

Etapa 3: decidir sua estratégia de aplicação: decida sua estratégia de aplicação com base na análise das respostas e no que você está tentando proteger. Por exemplo, você pode mudar o tráfego de risco em momentos importantes para proteger funcionalidades sensíveis. A API oferece uma variedade de respostas para que você possa implementar uma estratégia de aplicação em camadas com base no nível de confiança que você atribui a cada combinação de respostas.

Etapa 4: implementar a aplicação gradualmente e oferecer suporte aos usuários:implemente a aplicação gradualmente. Tenha uma estratégia de repetição quando os vereditos tiverem problemas ou estiverem indisponíveis e esteja preparado para oferecer suporte a usuários que tiverem problemas. Os novos avisos de correção no app do Google Play, descritos abaixo, facilitam o retorno dos usuários com problemas a um bom estado.

NOVO: permitir que o Google Play recupere usuários com problemas automaticamente

Decidir como responder a diferentes indicadores de integridade pode ser complexo. É necessário processar várias respostas de integridade e códigos de erro da API (como problemas de rede ou serviços do Google Play desatualizados). Estamos simplificando isso com novos avisos de correção no app do Google Play. Você pode mostrar um aviso do Google Play aos usuários para corrigir automaticamente uma ampla variedade de problemas diretamente no app. Isso reduz a complexidade da integração, garante uma interface do usuário consistente e ajuda a trazer mais usuários de volta a um bom estado.

O GET_INTEGRITY detecta automaticamente o problema (neste exemplo, um erro de rede) e o resolve.

É possível acionar a caixa de diálogo GET_INTEGRITY, disponível na versão 1.5.0 e mais recentes da biblioteca da API Play Integrity, após uma série de problemas para orientar automaticamente o usuário nas correções necessárias, incluindo:

• Acesso não autorizado: GET_INTEGRITY orienta o usuário de volta a uma resposta licenciada do Google Play em accountDetails.
• Adulteração de código:GET_INTEGRITY orienta o usuário de volta a uma resposta reconhecida pelo Google Play em appIntegrity.
• Problemas de integridade do dispositivo:GET_INTEGRITY orienta o usuário sobre como voltar ao estado MEETS_DEVICE_INTEGRITY em deviceIntegrity.
• Códigos de erro corrigíveis:GET_INTEGRITY resolve erros de API corrigíveis, como pedir ao usuário para corrigir a conectividade de rede ou atualizar o Google Play Services.

Também oferecemos caixas de diálogo especializadas, incluindo GET_STRONG_INTEGRITY (que funciona como GET_INTEGRITY e também retorna o usuário ao estado MEETS_STRONG_INTEGRITY sem problemas de malware conhecidos no playProtectVerdict), GET_LICENSED (que retorna o usuário a um estado licenciado e reconhecido pelo Google Play) e CLOSE_UNKNOWN_ACCESS_RISK e CLOSE_ALL_ACCESS_RISK (que pedem ao usuário para fechar apps potencialmente arriscados).

Escolher soluções de integridade modernas

Além da API Play Integrity, o Google oferece vários outros recursos a serem considerados como parte da sua estratégia antiabuso geral. A API Play Integrity e a proteção automática do Google Play oferecem benefícios para a experiência do usuário e para os desenvolvedores na proteção da distribuição de apps. Incentivamos os apps atuais a migrarem para essas soluções de integridade modernas em vez de usar a biblioteca de licenciamento legada do Google Play.

Proteção automática : impeça o acesso não autorizado com a proteção automática do Google Play e garanta que os usuários continuem recebendo as atualizações oficiais do seu app. Ative essa opção e o Google Play vai adicionar automaticamente uma verificação do instalador ao código do seu app, sem exigir nenhum trabalho de integração do desenvolvedor. Se o app protegido for redistribuído ou compartilhado por outro canal, o usuário vai receber uma solicitação para baixar o app no Google Play. Os desenvolvedores qualificados do Google Play também têm acesso à proteção contra adulterações avançada do Google Play, que usa ofuscação e verificações de tempo de execução para dificultar e encarecer a modificação e a redistribuição de apps protegidos.

Atestado de chave da plataforma Android : a API Play Integrity é a maneira recomendada de aproveitar o atestado de chave da plataforma Android com suporte de hardware. A API Play Integrity cuida da implementação subjacente em todo o ecossistema de dispositivos, o Google Play atenua automaticamente problemas e interrupções relacionados a chaves, e você pode usar a API para detectar outras ameaças. Os desenvolvedores que implementam o atestado de chave diretamente em vez de usar a API Play Integrity precisam se preparar para a próxima rotação do certificado raiz da plataforma Android em fevereiro de 2026 para evitar interrupções. Os desenvolvedores que usam a API Play Integrity não precisam fazer nada.

Firebase App Check: os desenvolvedores que usam o Firebase podem usar Firebase App Check para receber um veredito de integridade do app e do dispositivo com tecnologia da API Play Integrity em dispositivos Android certificados, além de respostas de outros provedores de atestado de plataforma. Para detectar todas as outras ameaças e usar outros recursos do Google Play, integre a API Play Integrity diretamente.

reCAPTCHA Enterprise: clientes empresariais que procuram uma solução completa de gerenciamento de fraudes e bots podem adquirir o reCAPTCHA Enterprise para dispositivos móveis. O reCAPTCHA Enterprise usa alguns dos indicadores antiabuso da API Play Integrity e os combina com indicadores do reCAPTCHA.

Proteja sua empresa hoje mesmo

Com uma base sólida em segurança com suporte de hardware e novas caixas de diálogo de correção automatizada que simplificam a integração, a API Play Integrity é uma ferramenta essencial para proteger seu crescimento.

Comece a usar a documentação da API Play Integrity.