Im mobilen Ökosystem kann Missbrauch Ihre Einnahmen, Ihr Wachstum und das Vertrauen der Nutzer gefährden. Um Entwicklern zu helfen, bietet Google Play einen robusten Dienst zur Bedrohungserkennung an: die Play Integrity API. Mit der Play Integrity API können Sie prüfen, ob Interaktionen und Serveranfragen echt sind – also von einer unveränderten Instanz Ihrer App auf einem zertifizierten Android-Gerät stammen, die über Google Play installiert wurde.

Die Auswirkungen sind erheblich: Bei Apps, die Play Integrity-Funktionen nutzen, wurde im Vergleich zu anderen Apps durchschnittlich 80% weniger unautorisierte Nutzung beobachtet. Heute nutzen führende Unternehmen aus verschiedenen Kategorien – darunter Uber, TikTok, Stripe, Kabam, Wooga, Radar.com, Zimperium, Paytm und Remini – die API, um ihre Unternehmen zu schützen.

Wir arbeiten kontinuierlich daran, die Play Integrity API zu verbessern. Sie lässt sich jetzt einfacher einbinden, ist widerstandsfähiger gegen ausgeklügelte Angriffe und bietet Nutzern, die die Integritätsstandards nicht erfüllen oder auf Fehler stoßen, mit neuen In-App-Aufforderungen zur Fehlerbehebung in Google Play eine bessere Unterstützung.

Bedrohungen für Ihr Unternehmen erkennen

Die Play Integrity API bietet Ergebnisse, mit denen sich bestimmte Bedrohungen erkennen lassen, die sich bei kritischen Interaktionen auf Ihr Geschäftsergebnis auswirken.

• Unautorisierter Zugriff: Mit dem accountDetails Ergebnis können Sie ermitteln, ob der Nutzer Ihre App oder Ihr Spiel bei Google Play installiert oder dafür bezahlt hat.
• Codemanipulation: Mit dem Ergebnis appIntegrity können Sie feststellen, ob Sie mit Ihrem unveränderten Binärprogramm in der Form interagieren, die Google Play bekannt ist.
• Risikobehaftete Geräte und emulierte Umgebungen: Mit dem deviceIntegrity Ergebnis können Sie feststellen, ob Ihre App auf einem echten, Play Protect-zertifizierten Android-Gerät oder einer echten Instanz von Google Play Games auf dem PC ausgeführt wird.
• Geräte ohne Patch: Mit der Antwort MEETS_STRONG_INTEGRITY im Ergebnis deviceIntegrity können Sie feststellen, ob auf einem Gerät (mit Android 13 und höher) aktuelle Sicherheitsupdates installiert wurden. Sie können auch deviceAttributes aktivieren, um die bestätigte Android SDK-Version in die Antwort aufzunehmen.
• Risikoreicher Zugriff durch andere Apps:Mit dem appAccessRiskVerdict können Sie ermitteln, ob Apps ausgeführt werden, die möglicherweise den Bildschirm aufnehmen, Overlays einblenden oder das Gerät steuern können (z. B. durch Missbrauch der Bedienungshilfe-Berechtigung). Apps, die echten Bedienungshilfezwecken dienen, werden bei diesem Ergebnis automatisch ausgeschlossen.
• Bekannte Malware:Mit dem playProtectVerdict können Sie prüfen, ob Google Play Protect aktiviert ist und ob auf dem Gerät installierte Apps gefunden wurden, die als riskant oder gefährlich eingestuft werden.
• Hyperaktivität:Mit der Ebene „recentDeviceActivity“ können Sie feststellen, ob ein Gerät in letzter Zeit eine ungewöhnlich hohe Anzahl von Integritätstoken-Anfragen gesendet hat. Dies könnte auf automatisierten Traffic hindeuten und ein Zeichen für einen Angriff sein.
• Wiederholter Missbrauch und wiederverwendete Geräte:Mit deviceRecall (Beta) können Sie feststellen, ob Sie mit einem Gerät interagieren, das Sie zuvor gekennzeichnet haben, auch wenn Ihre App neu installiert oder das Gerät zurückgesetzt wurde. Mit der Gerätewiedererkennung können Sie die wiederholten Aktionen anpassen, die Sie verfolgen möchten.

Die API kann für alle Android-Formfaktoren verwendet werden, einschließlich Smartphones, Tablets, Foldables, Android Auto, Android TV, Android XR, ChromeOS, Wear OS und Google Play Games auf dem PC.

Die Play Integrity API optimal nutzen

Apps und Spiele haben mit der Play Integrity API Erfolg erzielt, indem sie die Sicherheitsempfehlungen befolgt und einen schrittweisen Ansatz für ihre Strategie zur Missbrauchsbekämpfung gewählt haben.

Schritt 1: Entscheiden, was Sie schützen möchten: Legen Sie fest, welche Aktionen und Serveranfragen in Ihren Apps und Spielen wichtig sind, um sie zu überprüfen und zu schützen. Sie können beispielsweise Integritätsprüfungen durchführen, wenn ein Nutzer die App startet, sich anmeldet, einem Multiplayer-Spiel beitritt, KI-Inhalte generiert oder Geld überweist.

Schritt 2: Antworten auf Integritätsergebnisse erfassen: Führen Sie an wichtigen Stellen Integritätsprüfungen durch, um Ergebnisdaten zu erfassen, ohne die Durchsetzung zunächst zu erzwingen. So können Sie die Antworten für Ihre Installationsbasis analysieren und sehen, wie sie mit Ihren bestehenden Missbrauchssignalen und historischen Missbrauchsdaten korrelieren.

Schritt 3: Durchsetzungsstrategie festlegen: Legen Sie Ihre Durchsetzungsstrategie basierend auf Ihrer Analyse der Antworten und dem fest, was Sie schützen möchten. Sie können beispielsweise risikoreichen Traffic an wichtigen Stellen ändern, um sensible Funktionen zu schützen. Die API bietet eine Reihe von Antworten, sodass Sie eine mehrstufige Durchsetzungsstrategie implementieren können, die auf dem Vertrauensniveau basiert, das Sie jeder Kombination von Antworten zuweisen.

Schritt 4: Durchsetzung schrittweise einführen und Nutzer unterstützen:Führen Sie die Durchsetzung schrittweise ein. Entwickeln Sie eine Strategie für Wiederholungsversuche, wenn es Probleme mit Ergebnissen gibt oder diese nicht verfügbar sind, und unterstützen Sie Nutzer, die Probleme haben. Mit den neuen In-App-Aufforderungen zur Fehlerbehebung in Google Play, die unten beschrieben werden, können Sie Nutzern mit Problemen einfacher als je zuvor helfen, wieder einen guten Zustand zu erreichen.

NEU: Google Play kann Nutzer mit Problemen automatisch wiederherstellen

Es kann schwierig sein, zu entscheiden, wie auf verschiedene Integritätssignale reagiert werden soll. Sie müssen verschiedene Integritätsantworten und API-Fehlercodes verarbeiten (z. B. Netzwerkprobleme oder veraltete Play-Dienste). Wir vereinfachen dies mit neuen In-App-Aufforderungen zur Fehlerbehebung in Google Play. Sie können Ihren Nutzern eine Google Play-Aufforderung anzeigen, um eine Vielzahl von Problemen direkt in Ihrer App automatisch zu beheben. Dadurch wird die Integration vereinfacht, eine einheitliche Benutzeroberfläche gewährleistet und mehr Nutzern geholfen, wieder einen guten Zustand zu erreichen.

GET_INTEGRITY erkennt das Problem automatisch (in diesem Beispiel ein Netzwerkfehler) und behebt es.

Sie können das GET_INTEGRITY-Dialogfeld, das in der Play Integrity API-Bibliothek ab Version 1.5.0 verfügbar ist, nach einer Reihe von Problemen auslösen, um den Nutzer automatisch durch die erforderlichen Korrekturen zu führen, darunter:

• Unautorisierter Zugriff : GET_INTEGRITY führt den Nutzer zurück zu einer Google Play-lizenzierten Antwort in „accountDetails“.
• Codemanipulation:GET_INTEGRITY führt den Nutzer zurück zu einer von Google Play erkannten Antwort in „appIntegrity“.
• Probleme mit der Geräteintegrität:GET_INTEGRITY führt den Nutzer zurück zum Status „MEETS_DEVICE_INTEGRITY“ in deviceIntegrity.
• Behebbare Fehlercodes:GET_INTEGRITY behebt behebbare API-Fehler, z. B. indem der Nutzer aufgefordert wird, die Netzwerkverbindung zu korrigieren oder die Google Play-Dienste zu aktualisieren.

Wir bieten auch spezielle Dialogfelder wie GET_STRONG_INTEGRITY (funktioniert wie GET_INTEGRITY, führt den Nutzer aber auch zurück zum Status „MEETS_STRONG_INTEGRITY“ ohne bekannte Malware-Probleme im playProtectVerdict), GET_LICENSED (führt den Nutzer zurück zu einem von Google Play lizenzierten und erkannten Status) und CLOSE_UNKNOWN_ACCESS_RISK und CLOSE_ALL_ACCESS_RISK (fordert den Nutzer auf, potenziell riskante Apps zu schließen).

Moderne Integritätslösungen auswählen

Neben der Play Integrity API bietet Google mehrere andere Funktionen, die Sie im Rahmen Ihrer allgemeinen Strategie zur Missbrauchsbekämpfung in Betracht ziehen können. Sowohl die Play Integrity API als auch der automatische Schutz von Google Play bieten Vorteile für Nutzer und Entwickler, um die App-Verteilung zu schützen. Wir empfehlen, vorhandene Apps auf diese modernen Integritätslösungen umzustellen, anstatt die ältere Play-Lizenzierungsbibliothek zu verwenden.

Automatischer Schutz : Verhindern Sie unbefugten Zugriff mit dem automatischen Schutz von Google Play und sorgen Sie dafür, dass Nutzer weiterhin Ihre offiziellen App-Updates erhalten. Wenn Sie diese Funktion aktivieren, fügt Google Play dem Code Ihrer App automatisch eine Installationsprüfung hinzu, ohne dass Entwickler etwas tun müssen. Wenn Ihre geschützte App über einen anderen Kanal weitergegeben oder geteilt wird, wird der Nutzer aufgefordert, sie bei Google Play herunterzuladen. Berechtigte Play-Entwickler haben auch Zugriff auf den erweiterten Manipulationsschutz von Google Play, der Verschleierung und Laufzeitprüfungen verwendet, um es Angreifern zu erschweren und teurer zu machen, geschützte Apps zu ändern und weiterzugeben.

Bestätigung des Android-Plattformschlüssels : Die Play Integrity API ist die empfohlene Methode, um die hardwaregestützte Bestätigung des Android-Plattformschlüssels zu nutzen. Die Play Integrity API kümmert sich um die zugrunde liegende Implementierung im gesamten Geräteökosystem. Google Play behebt automatisch Probleme und Ausfälle im Zusammenhang mit Schlüsseln und Sie können die API verwenden, um andere Bedrohungen zu erkennen. Entwickler, die die Schlüsselbestätigung direkt implementieren, anstatt sich auf die Play Integrity API zu verlassen, sollten sich auf die bevorstehende Rotation des Android-Plattform-Rootzertifikats im Februar 2026 vorbereiten, um Unterbrechungen zu vermeiden. Entwickler, die die Play Integrity API verwenden, müssen nichts weiter tun.

Firebase App Check: Entwickler, die Firebase verwenden, können mit Firebase App Check ein Ergebnis zur App- und Geräteintegrität erhalten, das von der Play Integrity API auf zertifizierten Android-Geräten unterstützt wird, sowie Antworten von anderen Anbietern von Plattformbestätigungen. Wenn Sie alle anderen Bedrohungen erkennen und andere Play-Funktionen nutzen möchten, binden Sie die Play Integrity API direkt ein.

reCAPTCHA Enterprise: Unternehmenskunden, die eine umfassende Lösung für die Betrugs- und Botverwaltung suchen, können reCAPTCHA Enterprise für Mobilgeräte erwerben. reCAPTCHA Enterprise verwendet einige der Anti-Missbrauchssignale der Play Integrity API und kombiniert sie sofort mit reCAPTCHA-Signalen.

Unternehmen noch heute schützen

Mit einer soliden Grundlage in der hardwaregestützten Sicherheit und neuen automatisierten Dialogfeldern zur Fehlerbehebung, die die Integration vereinfachen, ist die Play Integrity API ein unverzichtbares Tool, um Ihr Wachstum zu schützen.

Weitere Informationen finden Sie in der Dokumentation zur Play Integrity API.