No ecossistema móvel, o abuso pode ameaçar sua receita, crescimento e a confiança dos usuários. Para ajudar os desenvolvedores a prosperar, o Google Play oferece um serviço resiliente de detecção de ameaças, a API Play Integrity. A API Play Integrity ajuda a verificar se as interações e solicitações do servidor são genuínas, ou seja, se vêm do seu app não modificado em um dispositivo Android certificado, instalado pelo Google Play.

O impacto é significativo: os apps que usam recursos da Play Integrity têm, em média, 80% menos uso não autorizado em comparação com outros apps. Hoje, líderes de várias categorias, incluindo Uber, TikTok, Stripe, Kabam, Wooga, Radar.com, Zimperium, Paytm e Remini, usam o serviço para proteger as empresas.

Continuamos aprimorando a API Play Integrity, facilitando a integração, aumentando a resiliência contra ataques sofisticados e melhorando a recuperação de usuários que não atendem aos padrões de integridade ou encontram erros com novas solicitações de correção no app do Google Play.

Detectar ameaças à sua empresa

A API Play Integrity oferece vereditos projetados para detectar ameaças específicas que afetam seus resultados financeiros durante interações críticas.

• Acesso não autorizado: o veredito accountDetails ajuda a determinar se o usuário instalou ou pagou pelo app ou jogo no Google Play.
• Adulteração de código: o veredito appIntegrity ajuda a determinar se você está interagindo com o binário não modificado reconhecido pelo Google Play.
• Dispositivos de risco e ambientes emulados: o veredito deviceIntegrity ajuda a determinar se o app está sendo executado em um dispositivo Android genuíno certificado pelo Play Protect ou em uma instância genuína do Google Play Games para PC.
• Dispositivos sem patch: para dispositivos com Android 13 e versões mais recentes, a resposta MEETS_STRONG_INTEGRITY no veredito deviceIntegrity ajuda a determinar se um dispositivo aplicou atualizações de segurança recentes. Você também pode ativar deviceAttributes para incluir a versão atestada do SDK do Android na resposta.
• Acesso arriscado por outros apps:o appAccessRiskVerdict ajuda a determinar se há apps em execução que podem ser usados para capturar a tela, mostrar sobreposições ou controlar o dispositivo (por exemplo, usando indevidamente a permissão de acessibilidade). Esse veredito exclui automaticamente apps que atendem a propósitos de acessibilidade genuínos.
• Malware conhecido:o playProtectVerdict ajuda a determinar se o Google Play Protect está ativado e se encontrou apps de risco ou perigosos instalados no dispositivo.
• Hiperatividade:o nível "recentDeviceActivity" ajuda a determinar se um dispositivo fez um volume anormalmente alto de solicitações de token de integridade recentemente, o que pode indicar tráfego automatizado e ser um sinal de ataque.
• Abuso repetido e dispositivos reutilizados:o deviceRecall (beta) ajuda a determinar se você está interagindo com um dispositivo que já sinalizou, mesmo que o app tenha sido reinstalado ou o dispositivo tenha sido redefinido. Com o reconhecimento do dispositivo, é possível personalizar as ações repetidas que você quer acompanhar.

A API pode ser usada em todos os formatos do Android, incluindo smartphones, tablets, dobráveis, Android Auto, Android TV, Android XR, ChromeOS, Wear OS e no Google Play Games para PC.

Aproveitar ao máximo a API Play Integrity

Os apps e jogos tiveram sucesso com a API Play Integrity seguindo as considerações de segurança e adotando uma abordagem gradual na estratégia antiabuso.

Etapa 1: decida o que você quer proteger: decida quais ações e solicitações de servidor nos seus apps e jogos são importantes para verificar e proteger. Por exemplo, você pode realizar verificações de integridade quando um usuário inicia o app, faz login, participa de um jogo multiplayer, gera conteúdo de IA ou transfere dinheiro.

Etapa 2: coletar respostas de verificação de integridade: faça verificações de integridade em momentos importantes para começar a coletar dados de verificação, sem aplicação no início. Assim, você pode analisar as respostas da sua base de instalação e ver como elas se correlacionam com os indicadores de abuso e os dados históricos de abuso.

Etapa 3: decida sua estratégia de aplicação: com base na análise das respostas e no que você está tentando proteger. Por exemplo, você pode mudar o tráfego arriscado em momentos importantes para proteger funcionalidades sensíveis. A API oferece uma variedade de respostas para que você possa implementar uma estratégia de aplicação em níveis com base no nível de confiança que você dá a cada combinação de respostas.

Etapa 4: implante gradualmente a aplicação e ofereça suporte aos usuários:faça a implantação gradualmente. Tenha uma estratégia de nova tentativa quando os veredictos tiverem problemas ou estiverem indisponíveis e esteja preparado para ajudar usuários bons que tiverem problemas. As novas solicitações de correção no app do Google Play, descritas abaixo, facilitam mais do que nunca a recuperação de usuários com problemas.

NOVIDADE: permitir que o Google Play recupere automaticamente usuários com problemas

Decidir como responder a diferentes indicadores de integridade pode ser complexo. É necessário processar várias respostas de integridade e códigos de erro da API (como problemas de rede ou serviços do Google Play desatualizados). Estamos simplificando isso com novos avisos de correção no app do Google Play. Você pode mostrar um aviso do Google Play aos usuários para corrigir automaticamente uma ampla variedade de problemas diretamente no seu app. Isso reduz a complexidade da integração, garante uma interface consistente e ajuda a recuperar mais usuários.

GET_INTEGRITY detecta automaticamente o problema (neste exemplo, um erro de rede) e o resolve.

Você pode acionar a caixa de diálogo  GET_INTEGRITY, disponível na versão 1.5.0 ou mais recente da biblioteca da API Play Integrity, após uma série de problemas para orientar automaticamente o usuário nas correções necessárias, incluindo:

• Acesso não autorizado : GET_INTEGRITY direciona o usuário de volta a uma resposta licenciada do Google Play em accountDetails.
• Adulteração de código:GET_INTEGRITY direciona o usuário de volta a uma resposta reconhecida pelo Google Play em appIntegrity.
• Problemas de integridade do dispositivo:GET_INTEGRITY orienta o usuário sobre como voltar ao estado MEETS_DEVICE_INTEGRITY em deviceIntegrity.
• Códigos de erro corrigíveis:GET_INTEGRITY resolve erros corrigíveis da API, como pedir ao usuário para corrigir a conectividade de rede ou atualizar o Google Play Services.

Também oferecemos caixas de diálogo especializadas, incluindo  GET_STRONG_INTEGRITY (que funciona como GET_INTEGRITY, mas também faz o usuário voltar ao estado MEETS_STRONG_INTEGRITY sem problemas de malware conhecidos no playProtectVerdict), GET_LICENSED (que faz o usuário voltar a um estado licenciado e reconhecido pelo Google Play), CLOSE_UNKNOWN_ACCESS_RISK e CLOSE_ALL_ACCESS_RISK (que pedem ao usuário para fechar apps potencialmente arriscados).

Escolher soluções modernas de integridade

Além da API Play Integrity, o Google oferece vários outros recursos que podem ser considerados como parte da sua estratégia geral contra abuso. A API Play Integrity e a proteção automática do Google Play oferecem benefícios para desenvolvedores e usuários, protegendo a distribuição de apps. Recomendamos que os apps atuais migrem para essas soluções modernas de integridade em vez de usar a biblioteca legada do Play Licensing.

Proteção automática : evite o acesso não autorizado com a proteção automática do Google Play e garanta que os usuários continuem recebendo as atualizações oficiais do app. Ative essa opção para que o Google Play adicione automaticamente uma verificação do instalador ao código do app, sem exigir trabalho de integração do desenvolvedor. Se o app protegido for redistribuído ou compartilhado por outro canal, o usuário vai receber uma solicitação para baixar o app no Google Play. Os desenvolvedores qualificados do Google Play também têm acesso à proteção avançada contra adulterações do Google Play, que usa ofuscação e verificações de tempo de execução para dificultar e encarecer a modificação e a redistribuição de apps protegidos por invasores.

Atestado de chave da plataforma Android : a API Play Integrity é a maneira recomendada de aproveitar o atestado de chave da plataforma Android com suporte de hardware. A API Play Integrity cuida da implementação no ecossistema de dispositivos, o Google Play mitiga automaticamente problemas e interrupções relacionados a chaves, e você pode usar a API para detectar outras ameaças. Os desenvolvedores que implementam a comprovação de chaves diretamente em vez de usar a API Play Integrity precisam se preparar para a próxima rotação de certificado raiz da plataforma Android em fevereiro de 2026 para evitar interrupções. Os desenvolvedores que usam a API Play Integrity não precisam fazer nada.

Firebase App Check: os desenvolvedores que usam o Firebase podem usar o Firebase App Check para receber um veredito de integridade do app e do dispositivo com tecnologia da API Play Integrity em dispositivos Android certificados, além de respostas de outros provedores de atestado de plataforma. Para detectar todas as outras ameaças e usar outros recursos do Google Play, integre a API Play Integrity diretamente.

reCAPTCHA Enterprise: clientes corporativos que buscam uma solução completa de gerenciamento de bots e fraudes podem comprar o reCAPTCHA Enterprise para dispositivos móveis. O reCAPTCHA Enterprise usa alguns dos indicadores antia abuso da API Play Integrity e os combina com indicadores do reCAPTCHA.

Proteja sua empresa hoje mesmo

Com uma base sólida em segurança com suporte de hardware e novas caixas de diálogo de correção automatizada que simplificam a integração, a API Play Integrity é uma ferramenta essencial para proteger seu crescimento.

Comece a usar a documentação da API Play Integrity.