בסביבת הפרסום בנייד, התנהלות פוגעת עלולה לסכן את ההכנסות, הצמיחה והאמון של המשתמשים. כדי לעזור למפתחים להצליח, Google Play מציעה שירות אמין לזיהוי איומים, Play Integrity API. ‫Play Integrity API עוזר לכם לוודא שהאינטראקציות והבקשות מהשרת הן אמיתיות – שהן מגיעות מהאפליקציה המקורית במכשיר Android מאושר, שהותקנה דרך Google Play.

ההשפעה משמעותית: באפליקציות שמשתמשות בתכונות של Play Integrity, השימוש הלא מורשה נמוך ב-80% בממוצע בהשוואה לאפליקציות אחרות. כיום, מנהלים בקטגוריות מגוונות – כולל Uber,‏ TikTok,‏ Stripe,‏ Kabam,‏ Wooga,‏ Radar.com,‏ Zimperium,‏ Paytm ו-Remini – משתמשים בה כדי להגן על העסקים שלהם.

אנחנו ממשיכים לשפר את Play Integrity API כדי להקל על השילוב שלו, להגביר את העמידות שלו בפני מתקפות מתוחכמות ולשפר את היכולת שלו לשחזר משתמשים שלא עומדים בתקני היושרה או נתקלים בשגיאות, באמצעות הנחיות חדשות לתיקון בעיות באפליקציה ב-Play.

זיהוי איומים על העסק

‫Play Integrity API מציע פסקי דין שנועדו לזהות איומים ספציפיים שמשפיעים על השורה התחתונה במהלך אינטראקציות קריטיות.

• גישה לא מורשית: התוצאה accountDetails עוזרת לכם לקבוע אם המשתמש התקין את האפליקציה או את המשחק או שילם עליהם ב-Google Play.
• שיבוש קוד: הפסיקה appIntegrity עוזרת לכם לקבוע אם האינטראקציה מתבצעת עם הקוד הבינארי המקורי, כפי שמערכת Google Play מזהה אותו.
• מכשירים מסוכנים וסביבות מדומה: הקביעה deviceIntegrity עוזרת לכם לקבוע אם האפליקציה שלכם פועלת במכשיר Android מקורי שעבר אישור של Play Protect או במופע מקורי של Google Play Games במחשב.
• מכשירים שלא הוחלו עליהם תיקוני אבטחה: במכשירים עם Android 13 ואילך, התגובה MEETS_STRONG_INTEGRITY בתוצאת deviceIntegrity עוזרת לכם לקבוע אם הוחלו על המכשיר עדכוני אבטחה מהזמן האחרון. אפשר גם להביע הסכמה לשימוש ב-deviceAttributes כדי לכלול בתגובה את גרסת ה-Android SDK שאומתה.
• גישה מסוכנת של אפליקציות אחרות: האות appAccessRiskVerdict עוזר לכם לקבוע אם פועלות אפליקציות שאפשר להשתמש בהן כדי לצלם את המסך, להציג שכבות-על או לשלוט במכשיר (לדוגמה, באמצעות שימוש לרעה בהרשאת הנגישות). הפסיקה הזו מוציאה אוטומטית מההגדרה אפליקציות שמשרתות מטרות נגישות אמיתיות.
• תוכנות זדוניות ידועות: הסטטוס playProtectVerdict עוזר לכם לקבוע אם Google Play Protect מופעל ואם הוא זיהה במכשיר אפליקציות מסוכנות או אפליקציות שרמת הסיכון שלהן נחשבת בינונית או גבוהה.
• פעילות יתר: הרמה recentDeviceActivity עוזרת לכם לקבוע אם מכשיר מסוים הגיש לאחרונה נפח גבוה באופן חריג של בקשות לטוקן תקינות, מה שיכול להעיד על תנועה אוטומטית ועל מתקפה.
• שימוש חוזר במכשירים וניצול לרעה חוזר: deviceRecall (בטא) עוזר לכם לקבוע אם אתם מבצעים אינטראקציה עם מכשיר שסימנתם בעבר, גם אם האפליקציה שלכם הותקנה מחדש או שהמכשיר אופס. בעזרת התכונה 'שחזור ערכים לפי מכשיר', אתם יכולים להתאים אישית את הפעולות החוזרות שאתם רוצים לעקוב אחריהן.

אפשר להשתמש ב-API בכל הפלטפורמות של Android, כולל טלפונים, טאבלטים, מכשירים מתקפלים, Android Auto, ‏ Android TV, ‏ Android XR, ‏ ChromeOS, ‏ Wear OS וב-Google Play Games למחשב.

איך מפיקים את המרב מ-Play Integrity API

מפתחים של אפליקציות ומשחקים נהנו מהצלחה עם Play Integrity API כשפעלו לפי השיקולים בנושא אבטחה ונקטו גישה הדרגתית לאסטרטגיה שלהם למניעת ניצול לרעה.

שלב 1: מחליטים מה רוצים להגן: מחליטים אילו פעולות ובקשות שרת באפליקציות ובמשחקים חשוב לאמת ולהגן עליהן. לדוגמה, אפשר לבצע בדיקות יושרה כשמשתמש מפעיל את האפליקציה, נכנס לחשבון, מצטרף למשחק מרובה משתתפים, יוצר תוכן AI או מעביר כסף.

שלב 2: איסוף תשובות של פסיקות לגבי תקינות: מבצעים בדיקות תקינות ברגעים חשובים כדי להתחיל לאסוף נתוני פסיקות, בלי לאכוף אותן בהתחלה. כך תוכלו לנתח את התשובות של בסיס המשתמשים שלכם ולראות את הקשר שלהן לאותות הקיימים של התנהלות פוגעת ולנתונים היסטוריים של התנהלות פוגעת.

שלב 3: מחליטים על אסטרטגיית האכיפה: מחליטים על אסטרטגיית האכיפה על סמך הניתוח של התשובות ומה שאתם מנסים להגן עליו. לדוגמה, אתם יכולים לשנות תנועה מסוכנת ברגעים חשובים כדי להגן על פונקציות רגישות. ה-API מציע מגוון תגובות, כך שתוכלו להטמיע אסטרטגיית אכיפה מדורגת על סמך רמת האמון שאתם נותנים לכל שילוב של תגובות.

שלב 4: השקה הדרגתית של האכיפה ותמיכה במשתמשים: מומלץ להשיק את האכיפה בהדרגה. חשוב שתהיה לכם אסטרטגיה לניסיון חוזר במקרים שבהם יש בעיות בפסקי הדין או שהם לא זמינים, ושתהיו מוכנים לתמוך במשתמשים טובים שנתקלים בבעיות. ההנחיות החדשות לפתרון בעיות באפליקציה ב-Play, שמתוארות בהמשך, מקלות יותר מתמיד על החזרת משתמשים עם בעיות למצב תקין.

חדש: אפשרות לשחזר באופן אוטומטי משתמשים עם בעיות ב-Play

ההחלטה איך להגיב לאותות שונים של תקינות יכולה להיות מורכבת. צריך לטפל בתגובות שונות של תקינות ובקודי שגיאה של API (כמו בעיות ברשת או גרסה לא עדכנית של Google Play Services). כדי לפשט את התהליך, הוספנו הנחיות חדשות לתיקון בעיות באפליקציות ב-Play. אתם יכולים להציג למשתמשים הנחיה של Google Play לתיקון אוטומטי של מגוון רחב של בעיות ישירות באפליקציה. כך מצמצמים את מורכבות השילוב, מבטיחים ממשק משתמש עקבי ועוזרים ליותר משתמשים לחזור למצב תקין.

‫GET_INTEGRITY מזהה את הבעיה באופן אוטומטי (בדוגמה הזו, שגיאה ברשת) ופותר אותה.

אחרי מגוון בעיות, אפשר להפעיל את תיבת הדו-שיח  GET_INTEGRITY, שזמינה בספריית Play Integrity API בגרסה 1.5.0 ואילך, כדי להנחות את המשתמש באופן אוטומטי לפתרונות הנדרשים, כולל:

• גישה לא מורשית: השיטה GET_INTEGRITY מפנה את המשתמש בחזרה לתגובה עם רישיון Play ב-accountDetails.
• שיבוש קוד: הפונקציה GET_INTEGRITY מפנה את המשתמש חזרה לתגובה שזוהתה על ידי Play ב- appIntegrity.
• בעיות בתקינות המכשיר: הפונקציה GET_INTEGRITY מנחה את המשתמש איך לחזור למצב MEETS_DEVICE_INTEGRITY ב-deviceIntegrity.
• קודי שגיאה שניתנים לתיקון: הפונקציה GET_INTEGRITY פותרת שגיאות API שניתנות לתיקון, כמו הנחיית המשתמש לתקן את הקישוריות לרשת או לעדכן את Google Play Services.

אנחנו מציעים גם דיאלוגים מיוחדים, כולל  GET_STRONG_INTEGRITY (שפועל כמו GET_INTEGRITY, אבל גם מחזיר את המשתמש למצב MEETS_STRONG_INTEGRITY ללא בעיות ידועות של תוכנות זדוניות ב-playProtectVerdict),‏ GET_LICENSED (שמחזיר את המשתמש למצב שבו יש לו רישיון ל-Play והמכשיר מזוהה על ידי Play),‏ CLOSE_UNKNOWN_ACCESS_RISK ו-CLOSE_ALL_ACCESS_RISK (שמציגים למשתמש הנחיות לסגירת אפליקציות שעלולות להיות מסוכנות).

בחירת פתרונות מודרניים לבדיקת תקינות

בנוסף ל-Play Integrity API, ‏ Google מציעה כמה תכונות נוספות שכדאי לשקול כחלק מהאסטרטגיה הכוללת למניעת ניצול לרעה. גם Play Integrity API וגם ההגנה האוטומטית של Play מציעים למשתמשים ולמפתחים יתרונות שקשורים להגנה על הפצת האפליקציה. אנחנו ממליצים למפתחים של אפליקציות קיימות להעביר אותן לפתרונות המודרניים האלה לשמירה על תקינות האפליקציה, במקום להשתמש בספריית הרישוי מדור קודם של Play.

הגנה אוטומטית: אפשר להשתמש בהגנה האוטומטית של Google Play כדי למנוע גישה לא מורשית, ולוודא שהמשתמשים ימשיכו לקבל את העדכונים הרשמיים של האפליקציה. אם מפעילים את התכונה, מערכת Google Play מוסיפה באופן אוטומטי בדיקה של מנהל ההתקנה לקוד האפליקציה, בלי שנדרשת עבודת שילוב מצד המפתח. אם האפליקציה המוגנת שלך מופצת מחדש או משותפת דרך ערוץ אחר, המשתמש יתבקש להוריד את האפליקציה מ-Google Play. מפתחים שעומדים בדרישות של Play יכולים גם להשתמש בהגנה המתקדמת של Play מפני חדירה לקוד. ההגנה הזו משתמשת בערפול קוד ובבדיקות בזמן הריצה כדי להקשות על תוקפים לשנות אפליקציות מוגנות ולהפיץ אותן מחדש, וכדי להפוך את הפעולות האלה ליקרות יותר.

אימות עם מפתח פלטפורמת Android: הדרך המומלצת ליהנות מאימות עם מפתח פלטפורמת Android מבוסס חומרה היא באמצעות Play Integrity API. ‫Play Integrity API מטפל בהטמעה הבסיסית במערכת האקולוגית של המכשיר, מערכת Play מצמצמת באופן אוטומטי בעיות והפסקות שירות שקשורות למפתחות, ואפשר להשתמש ב-API כדי לזהות איומים אחרים. מפתחים שמטמיעים אימות מפתח באופן ישיר במקום להסתמך על Play Integrity API צריכים להתכונן לרוטציה של אישורי הבסיס של פלטפורמת Android שתתבצע בפברואר 2026, כדי למנוע שיבושים (מפתחים שמשתמשים ב-Play Integrity API לא צריכים לבצע שום פעולה).

‫Firebase App Check: מפתחים שמשתמשים ב-Firebase יכולים להשתמש ב-Firebase App Check כדי לקבל קביעת תקינות לגבי האפליקציה ותקינות המכשיר, שמבוסס על Play Integrity API במכשירי Android מאושרים, וגם תגובות מספקי אימות אחרים של פלטפורמות. כדי לזהות את כל האיומים האחרים ולהשתמש בתכונות אחרות של Play, צריך לשלב את Play Integrity API ישירות.

‫reCAPTCHA Enterprise: לקוחות Enterprise שמחפשים פתרון מלא לניהול בוטים ולמניעת הונאות יכולים לרכוש את reCAPTCHA Enterprise לנייד. ‏reCAPTCHA Enterprise משתמש בחלק מהאותות למניעת ניצול לרעה של Play Integrity API, ומשלב אותם עם אותות reCAPTCHA באופן אוטומטי.

הגנה על העסק כבר היום

‫Play Integrity API הוא כלי חיוני להגנה על הצמיחה שלכם, כי הוא מבוסס על אבטחה ברמת החומרה וכולל תיבות דו-שיח חדשות לתיקון אוטומטי שמפשטות את השילוב.

תחילת העבודה עם המסמכים של Play Integrity API