Nell'ecosistema mobile, gli abusi possono minacciare le entrate, la crescita e la fiducia degli utenti. Per aiutare gli sviluppatori a prosperare, Google Play offre un servizio di rilevamento delle minacce resiliente, l'API Play Integrity. L'API Play Integrity ti aiuta a verificare che le interazioni e le richieste del server siano autentiche, ovvero che provengano dalla tua app non modificata su un dispositivo Android certificato, installato da Google Play.

L'impatto è significativo: le app che utilizzano le funzionalità di Play Integrity registrano in media un utilizzo non autorizzato inferiore dell'80% rispetto alle altre app. Oggi, i leader di diverse categorie, tra cui Uber, TikTok, Stripe, Kabam, Wooga, Radar.com, Zimperium, Paytm e Remini, la utilizzano per proteggere le loro attività.

Continuiamo a migliorare l'API Play Integrity, rendendola più facile da integrare, più resiliente agli attacchi sofisticati e più efficace nel recuperare gli utenti che non soddisfano gli standard di integrità o che riscontrano errori con i nuovi prompt di correzione in-app di Play.

Rilevare le minacce alla tua attività

L'API Play Integrity offre esiti progettati per rilevare minacce specifiche che influiscono sui tuoi profitti durante le interazioni critiche.

• Accesso non autorizzato: l'esito accountDetails ti aiuta a stabilire se l'utente ha installato o pagato la tua app o il tuo gioco su Google Play.
• Manomissione del codice: l'esito appIntegrity ti aiuta a stabilire se stai interagendo o meno con il tuo file binario non modificato riconosciuto da Google Play.
• Dispositivi rischiosi e ambienti emulati: l'esito deviceIntegrity ti aiuta a stabilire se la tua app è in esecuzione su un dispositivo Android con certificazione Play Protect originale o su un'istanza originale di Google Play Games per PC.
• Dispositivi senza patch: per i dispositivi con Android 13 e versioni successive, MEETS_STRONG_INTEGRITY risposta nell'esito deviceIntegrity ti aiuta a stabilire se a un dispositivo sono stati applicati aggiornamenti della sicurezza recenti. Puoi anche attivare deviceAttributes per includere la versione dell'SDK Android attestata nella risposta.
• Accesso rischioso da parte di altre app:l'esito appAccessRiskVerdict ti aiuta a stabilire se sono in esecuzione app che potrebbero essere utilizzate per acquisire la schermata, mostrare overlay o controllare il dispositivo (ad esempio, utilizzando in modo improprio l'autorizzazione di accessibilità). Questo esito esclude automaticamente le app che hanno scopi di accessibilità legittimi.
• Malware noti:l'esito playProtectVerdict ti aiuta a stabilire se la funzionalità Google Play Protect è attiva e se ha trovato app rischiose o pericolose installate sul dispositivo.
• Iperattività:il livello recentDeviceActivity ti aiuta a stabilire se di recente un dispositivo ha effettuato un volume di richieste di token di integrità anomalo, il che potrebbe indicare traffico automatizzato e potrebbe essere un segnale di attacco.
• Abusi ripetuti e dispositivi riutilizzati:deviceRecall (beta) ti aiuta a stabilire se stai interagendo con un dispositivo che hai contrassegnato in precedenza, anche se la tua app è stata reinstallata o il dispositivo è stato reimpostato. Con il richiamo del dispositivo, puoi personalizzare le azioni ripetute che vuoi monitorare.

L'API può essere utilizzata su tutti i fattori di forma Android, inclusi smartphone, tablet, dispositivi pieghevoli, Android Auto, Android TV, Android XR, ChromeOS, Wear OS e Google Play Giochi per PC.

Sfruttare al meglio l'API Play Integrity

Le app e i giochi hanno avuto successo con l'API Play Integrity seguendo le considerazioni sulla sicurezza e adottando un approccio graduale alla strategia anti-abuso.

Passaggio 1: decidi cosa vuoi proteggere: decidi quali azioni e richieste del server nelle tue app e nei tuoi giochi sono importanti da verificare e proteggere. Ad esempio, potresti eseguire controlli di integrità quando un utente avvia l'app, esegue l'accesso, partecipa a un gioco multiplayer, genera contenuti AI o trasferisce denaro.

Passaggio 2: raccogli le risposte degli esiti relativi all'integrità: esegui controlli di integrità nei momenti importanti per iniziare a raccogliere i dati degli esiti, senza applicare inizialmente l'applicazione. In questo modo puoi analizzare le risposte per la tua base di installazione e vedere come si correlano con i segnali di abuso esistenti e i dati storici sugli abusi.

Passaggio 3: decidi la strategia di applicazione: decidi la strategia di applicazione in base all'analisi delle risposte e a ciò che stai cercando di proteggere. Ad esempio, potresti modificare il traffico rischioso nei momenti importanti per proteggere le funzionalità sensibili. L'API offre una serie di risposte che ti consentono di implementare una strategia di applicazione a più livelli in base al livello di fiducia che assegni a ogni combinazione di risposte.

Passaggio 4: implementa gradualmente l'applicazione e supporta gli utenti:implementa gradualmente l'applicazione. Adotta una strategia di ripetizione quando gli esiti presentano problemi o non sono disponibili e preparati a supportare gli utenti validi che riscontrano problemi. I nuovi prompt di correzione in-app di Play, descritti di seguito, semplificano più che mai il ripristino dello stato degli utenti con problemi.

NOVITÀ: lascia che Play recuperi automaticamente gli utenti con problemi

Decidere come rispondere ai diversi indicatori di integrità può essere complesso, in quanto devi gestire varie risposte di integrità e codici di errore dell'API (ad esempio problemi di rete o servizi Google Play obsoleti). Stiamo semplificando questa procedura con i nuovi prompt di correzione in-app di Play. Puoi mostrare un prompt di Google Play ai tuoi utenti per risolvere automaticamente un'ampia gamma di problemi direttamente all'interno della tua app. In questo modo si riduce la complessità dell'integrazione, si garantisce un'interfaccia utente coerente e si aiuta un maggior numero di utenti a tornare a uno stato valido.

GET_INTEGRITY rileva automaticamente il problema (in questo esempio, un errore di rete) e lo risolve.

Puoi attivare la finestra di dialogo GET_INTEGRITY, disponibile nella versione 1.5.0 e successive della libreria dell'API Play Integrity, dopo una serie di problemi per guidare automaticamente l'utente attraverso le correzioni necessarie, tra cui:

• Accesso non autorizzato: GET_INTEGRITY indirizza l'utente a una risposta con licenza Play in accountDetails.
• Manomissione del codice:GET_INTEGRITY indirizza l'utente a una risposta riconosciuta da Play in appIntegrity.
• Problemi di integrità del dispositivo:GET_INTEGRITY guida l'utente su come tornare allo stato MEETS_DEVICE_INTEGRITY in deviceIntegrity.
• Codici di errore correggibili:GET_INTEGRITY risolve gli errori dell'API correggibili, ad esempio chiedendo all'utente di correggere la connettività di rete o di aggiornare Google Play Services.

Offriamo anche finestre di dialogo specializzate, tra cui GET_STRONG_INTEGRITY (che funziona come GET_INTEGRITY e riporta l'utente allo stato MEETS_STRONG_INTEGRITY senza problemi di malware noti in playProtectVerdict), GET_LICENSED (che riporta l'utente a uno stato con licenza Play e riconosciuto da Play) e CLOSE_UNKNOWN_ACCESS_RISK e CLOSE_ALL_ACCESS_RISK (che chiedono all'utente di chiudere le app potenzialmente rischiose).

Scegliere soluzioni di integrità moderne

Oltre all'API Play Integrity, Google offre diverse altre funzionalità da prendere in considerazione nell'ambito della strategia anti-abuso complessiva. Sia l'API Play Integrity sia la protezione automatica di Play offrono vantaggi per l'esperienza utente e per gli sviluppatori per salvaguardare la distribuzione delle app. Invitiamo le app esistenti a eseguire la migrazione a queste soluzioni di integrità moderne anziché utilizzare la libreria Google Play Licensing legacy.

Protezione automatica:  impedisci l'accesso non autorizzato con la protezione automatica di Google Play e assicurati che gli utenti continuino a ricevere gli aggiornamenti delle app ufficiali. Attivala e Google Play aggiungerà automaticamente un controllo dell'installer al codice della tua app, senza che sia necessario alcun intervento di integrazione da parte dello sviluppatore. Se la tua app protetta viene ridistribuita o condivisa tramite un altro canale, all'utente verrà chiesto di scaricarla da Google Play. Gli sviluppatori Play idonei hanno anche accesso alla protezione dalle manomissioni avanzata di Play, che utilizza l'offuscamento e i controlli di runtime per rendere più difficile e costoso per gli utenti malintenzionati modificare e ridistribuire le app protette.

Attestazione della chiave della piattaforma Android : l'API Play Integrity è il modo consigliato per usufruire dell'attestazione della chiave della piattaforma Android supportata dall'hardware. L'API Play Integrity si occupa dell'implementazione sottostante nell'ecosistema dei dispositivi, Play mitiga automaticamente i problemi e le interruzioni correlate alle chiavi e puoi utilizzare l'API per rilevare altre minacce. Gli sviluppatori che implementano direttamente l'attestazione di chiavi anziché affidarsi all'API Play Integrity devono prepararsi alla prossima rotazione del certificato radice della piattaforma Android a febbraio 2026 per evitare interruzioni (gli sviluppatori che utilizzano l'API Play Integrity non devono intraprendere alcuna azione).

Firebase App Check: gli sviluppatori che utilizzano Firebase possono utilizzare Firebase App Check per ricevere un esito relativo all'integrità dell'app e del dispositivo basato sull'API Play Integrity sui dispositivi Android certificati, insieme alle risposte di altri provider di attestazione della piattaforma. Per rilevare tutte le altre minacce e utilizzare altre funzionalità di Play, integra direttamente l'API Play Integrity.

reCAPTCHA Enterprise: i clienti Enterprise che cercano una soluzione completa per la gestione di bot e frodi possono acquistare reCAPTCHA Enterprise per dispositivi mobili. reCAPTCHA Enterprise utilizza alcuni indicatori anti-abuso dell'API Play Integrity e li combina con gli indicatori reCAPTCHA out-of-the-box.

Proteggi la tua attività oggi stesso

Con una solida base di sicurezza supportata dalla crittografia hardware e nuove finestre di dialogo di correzione automatica che semplificano l'integrazione, l'API Play Integrity è uno strumento essenziale per proteggere la tua crescita.

Inizia a utilizzare la documentazione dell'API Play Integrity.