בסביבת הפרסום בנייד, התנהלות פוגעת עלולה לסכן את ההכנסות, הצמיחה והאמון של המשתמשים. כדי לעזור למפתחים להצליח, Google Play מציעה שירות עמיד לזיהוי איומים, Play Integrity API. ‫Play Integrity API עוזר לכם לוודא שהאינטראקציות והבקשות מהשרת הן אמיתיות – שהן מגיעות מהאפליקציה המקורית במכשיר Android מאושר, שהותקנה דרך Google Play.

ההשפעה משמעותית: באפליקציות שמשתמשות בתכונות של Play Integrity, השימוש הלא מורשה נמוך ב-80% בממוצע בהשוואה לאפליקציות אחרות. כיום, מנהלים בקטגוריות מגוונות – כולל Uber,‏ TikTok,‏ Stripe,‏ Kabam,‏ Wooga,‏ Radar.com,‏ Zimperium,‏ Paytm ו-Remini – משתמשים בה כדי להגן על העסקים שלהם.

אנחנו ממשיכים לשפר את Play Integrity API כדי להקל על השילוב שלו, להגביר את העמידות שלו בפני מתקפות מתוחכמות ולשפר את היכולת שלו לשחזר משתמשים שלא עומדים בתקני היושרה או נתקלים בשגיאות, באמצעות הנחיות חדשות לתיקון בעיות באפליקציה ב-Play.

זיהוי איומים על העסק

‫Play Integrity API מציע פסיקות שנועדו לזהות איומים ספציפיים שמשפיעים על השורה התחתונה במהלך אינטראקציות קריטיות.

• גישה לא מורשית: התוצאה accountDetails עוזרת לכם לקבוע אם המשתמש התקין את האפליקציה או את המשחק או שילם עליהם ב-Google Play.
• שיבוש קוד: הפסיקה appIntegrity עוזרת לכם לקבוע אם האינטראקציה מתבצעת עם הקוד הבינארי המקורי, כפי שמערכת Google Play מזהה אותו.
• מכשירים מסוכנים וסביבות מדומה: הקביעה deviceIntegrity עוזרת לכם לקבוע אם האפליקציה שלכם פועלת במכשיר Android מקורי שעבר אישור של Play Protect או במופע מקורי של Google Play Games במחשב.
• מכשירים שלא הוחלו עליהם תיקונים: במכשירים עם Android 13 ואילך, התגובה MEETS_STRONG_INTEGRITY בתוצאת deviceIntegrity עוזרת לכם לקבוע אם הוחלו על המכשיר עדכוני אבטחה מהזמן האחרון. אפשר גם להביע הסכמה לשימוש ב-deviceAttributes כדי לכלול בתגובה את גרסת ה-Android SDK שאומתה.
• גישה מסוכנת של אפליקציות אחרות: האות appAccessRiskVerdict עוזר לכם לקבוע אם פועלות אפליקציות שאפשר להשתמש בהן כדי לצלם את המסך, להציג שכבות-על או לשלוט במכשיר (לדוגמה, על ידי שימוש לרעה בהרשאת הנגישות). הפסיקה הזו מוציאה אוטומטית מההגדרה אפליקציות שמשרתות מטרות נגישות אמיתיות.
• תוכנות זדוניות ידועות: הסטטוס playProtectVerdict עוזר לכם לקבוע אם Google Play Protect מופעל ואם הוא זיהה במכשיר אפליקציות מסוכנות או בעלות סיכון גבוה.
• פעילות יתר: הרמה recentDeviceActivity עוזרת לכם לקבוע אם מכשיר מסוים הגיש לאחרונה נפח גבוה באופן חריג של בקשות לטוקן תקינות, מה שיכול להעיד על תנועה אוטומטית ועל מתקפה.
• התנהלות פוגעת חוזרת ומכשירים בשימוש חוזר: deviceRecall (בטא) עוזרת לכם לקבוע אם אתם מבצעים אינטראקציה עם מכשיר שסימנתם בעבר, גם אם האפליקציה שלכם הותקנה מחדש או שהמכשיר אופס. בעזרת התכונה 'שחזור ערכים לפי מכשיר', אתם יכולים להתאים אישית את הפעולות החוזרות שאתם רוצים לעקוב אחריהן.

אפשר להשתמש ב-API בכל הפלטפורמות של Android, כולל טלפונים, טאבלטים, מכשירים מתקפלים, Android Auto, ‏ Android TV, ‏ Android XR, ‏ ChromeOS, ‏ Wear OS וב-Google Play Games למחשב.

איך מפיקים את המרב מ-Play Integrity API

מפתחים של אפליקציות ומשחקים נהנו מהצלחה עם Play Integrity API כשפעלו לפי השיקולים בנושא אבטחה ונקטו גישה הדרגתית לאסטרטגיה שלהם למניעת ניצול לרעה.

שלב 1: מחליטים מה רוצים להגן: מחליטים אילו פעולות ובקשות שרת באפליקציות ובמשחקים חשוב לאמת ולהגן עליהן. לדוגמה, אפשר לבצע בדיקות יושרה כשמשתמש מפעיל את האפליקציה, נכנס לחשבון, מצטרף למשחק מרובה משתתפים, יוצר תוכן מבוסס-AI או מעביר כסף.

שלב 2: איסוף תשובות של בדיקת תקינות: מבצעים בדיקות תקינות ברגעים חשובים כדי להתחיל לאסוף נתוני פסיקה, בלי אכיפה בשלב הראשון. כך תוכלו לנתח את התשובות של בסיס המשתמשים שלכם ולראות את הקשר שלהן לאותות הקיימים של התנהלות פוגעת ולנתונים היסטוריים של התנהלות פוגעת.

שלב 3: מחליטים על אסטרטגיית האכיפה: מחליטים על אסטרטגיית האכיפה על סמך הניתוח של התשובות ומה שאתם מנסים להגן עליו. לדוגמה, אתם יכולים לשנות את התנועה המסוכנת ברגעים חשובים כדי להגן על פונקציונליות רגישה. ה-API מציע מגוון תגובות, כך שתוכלו להטמיע אסטרטגיית אכיפה מדורגת על סמך רמת האמון שאתם נותנים לכל שילוב של תגובות.

שלב 4: השקה הדרגתית של האכיפה ותמיכה במשתמשים: מומלץ להשיק את האכיפה בהדרגה. צריך שתהיה לכם אסטרטגיה לניסיון חוזר במקרים שבהם יש בעיות בפסיקות או שהן לא זמינות, וצריך להיות מוכנים לתמוך במשתמשים טובים שנתקלים בבעיות. ההנחיות החדשות לפתרון בעיות באפליקציה ב-Play, שמתוארות בהמשך, מקלות יותר מתמיד על החזרת משתמשים עם בעיות למצב תקין.

חדש: אפשר לאפשר ל-Play לשחזר משתמשים עם בעיות באופן אוטומטי

ההחלטה איך להגיב לאותות שונים של יושרה יכולה להיות מורכבת. צריך לטפל בתגובות שונות של יושרה ובקודי שגיאה של API (כמו בעיות ברשת או גרסה לא עדכנית של Google Play Services). כדי לפשט את התהליך, הוספנו הודעות חדשות לתיקון בעיות באפליקציות ב-Play. אתם יכולים להציג למשתמשים הנחיה של Google Play לתיקון אוטומטי של מגוון רחב של בעיות ישירות באפליקציה. כך מצמצמים את מורכבות השילוב, מבטיחים ממשק משתמש עקבי ועוזרים ליותר משתמשים לחזור למצב תקין.

‫GET_INTEGRITY מזהה את הבעיה באופן אוטומטי (בדוגמה הזו, שגיאת רשת) ופותר אותה.

אחרי שמתרחשות בעיות שונות, אפשר להפעיל את תיבת הדו-שיח  GET_INTEGRITY שזמינה בספריית Play Integrity API בגרסה 1.5.0 ואילך, כדי להנחות את המשתמש באופן אוטומטי בתהליך התיקון הנדרש, כולל:

• גישה לא מורשית: השיטה GET_INTEGRITY מפנה את המשתמש בחזרה לתגובה עם רישיון Play ב-accountDetails.
• שיבוש קוד: הפונקציה GET_INTEGRITY מפנה את המשתמש חזרה לתגובה שזוהתה על ידי Play ב- appIntegrity.
• בעיות בתקינות המכשיר: הפונקציה GET_INTEGRITY מנחה את המשתמש איך לחזור למצב MEETS_DEVICE_INTEGRITY ב-deviceIntegrity.
• קודי שגיאה שניתנים לתיקון: הפונקציה GET_INTEGRITY פותרת שגיאות API שניתנות לתיקון, כמו הנחיית המשתמש לתקן את הקישוריות לרשת או לעדכן את שירותי Google Play.

אנחנו מציעים גם דיאלוגים מיוחדים, כולל GET_STRONG_INTEGRITY (שפועל כמו GET_INTEGRITY וגם מחזיר את המשתמש למצב MEETS_STRONG_INTEGRITY ללא בעיות ידועות של תוכנות זדוניות ב-playProtectVerdict), GET_LICENSED (שמחזיר את המשתמש למצב שבו יש לו רישיון ל-Play והמכשיר מזוהה על ידי Play), ו-CLOSE_UNKNOWN_ACCESS_RISK ו-CLOSE_ALL_ACCESS_RISK (שמציגים למשתמש הנחיות לסגירת אפליקציות שעלולות להיות מסוכנות).

בחירת פתרונות מודרניים לבדיקת תקינות

בנוסף ל-Play Integrity API, ‏ Google מציעה כמה תכונות נוספות שכדאי לשקול כחלק מהאסטרטגיה הכוללת למניעת ניצול לרעה. גם Play Integrity API וגם ההגנה האוטומטית של Play מציעים למשתמשים ולמפתחים יתרונות שקשורים להגנה על הפצת האפליקציה. אנחנו ממליצים למפתחים של אפליקציות קיימות לעבור לפתרונות המודרניים האלה לשמירה על תקינות האפליקציה במקום להשתמש בספריית הרישוי מדור קודם ב-Play.

הגנה אוטומטית: אפשר להשתמש בהגנה האוטומטית של Google Play כדי למנוע גישה לא מורשית, ולוודא שהמשתמשים ימשיכו לקבל את העדכונים הרשמיים של האפליקציה. אם מפעילים את התכונה, מערכת Google Play מוסיפה באופן אוטומטי בדיקה של מנהל ההתקנה לקוד האפליקציה, ולא נדרשת עבודת שילוב מצד המפתחים. אם האפליקציה המוגנת שלך תופץ מחדש או תשותף דרך ערוץ אחר, המשתמש יתבקש להוריד את האפליקציה מ-Google Play. מפתחים שעומדים בדרישות של Play יכולים גם לגשת למניעת חדירה לקוד המתקדמת של Play, שמשתמשת בערפול קוד ובבדיקות בזמן הריצה כדי להקשות על תוקפים לשנות אפליקציות מוגנות ולהפיץ אותן מחדש, וכדי להפוך את הפעולות האלה ליקרות יותר.

אימות עם מפתח פלטפורמת Android: הדרך המומלצת ליהנות מאימות עם מפתח פלטפורמת Android מבוסס חומרה היא באמצעות Play Integrity API. ‫Play Integrity API מטפל בהטמעה הבסיסית במערכת האקולוגית של המכשיר, מערכת Play מצמצמת באופן אוטומטי בעיות והפסקות שירות שקשורות למפתחות, ואפשר להשתמש ב-API כדי לזהות איומים אחרים. מפתחים שמטמיעים אימות מפתח ישירות במקום להסתמך על Play Integrity API צריכים להתכונן לרוטציה של אישור הבסיס של פלטפורמת Android הקרובה בפברואר 2026 כדי למנוע שיבושים (מפתחים שמשתמשים ב-Play Integrity API לא צריכים לבצע פעולה כלשהי).

‫Firebase App Check: מפתחים שמשתמשים ב-Firebase יכולים להשתמש ב-Firebase App Check כדי לקבל קביעת תקינות לגבי האפליקציה ותקינות המכשיר, שמבוסס על Play Integrity API במכשירי Android מאושרים, וגם תגובות מספקי אימות אחרים של פלטפורמות. כדי לזהות את כל האיומים האחרים ולהשתמש בתכונות אחרות של Play, צריך לשלב את Play Integrity API ישירות.

‫reCAPTCHA Enterprise: לקוחות Enterprise שמחפשים פתרון מלא לניהול בוטים ולמניעת הונאות יכולים לרכוש את reCAPTCHA Enterprise לנייד. ‏reCAPTCHA Enterprise משתמש בחלק מהאותות למניעת ניצול לרעה של Play Integrity API, ומשלב אותם עם אותות reCAPTCHA באופן אוטומטי.

הגנה על העסק כבר היום

‫Play Integrity API הוא כלי חיוני להגנה על הצמיחה שלכם, כי הוא מבוסס על אבטחה ברמת החומרה וכולל תיבות דו-שיח חדשות לתיקון אוטומטי שמפשטות את השילוב.

תחילת העבודה עם מאמרי העזרה של Play Integrity API