Trong hệ sinh thái di động, hành vi sai trái có thể đe doạ doanh thu, sự tăng trưởng và lòng tin của người dùng. Để giúp các nhà phát triển phát triển mạnh mẽ, Google Play cung cấp một dịch vụ phát hiện mối đe doạ có khả năng phục hồi, đó là API Tính toàn vẹn của Play. Play Integrity API giúp bạn xác minh rằng các lượt tương tác và yêu cầu gửi đến máy chủ là chính thống – đến từ ứng dụng chưa sửa đổi của bạn trên một thiết bị Android được chứng nhận, do Google Play cài đặt.

Tác động này rất đáng kể: những ứng dụng sử dụng các tính năng về tính toàn vẹn của Play có tỷ lệ sử dụng trái phép thấp hơn 80% so với những ứng dụng khác. Ngày nay, các công ty hàng đầu trong nhiều danh mục – bao gồm Uber, TikTok, Stripe, Kabam, Wooga, Radar.com, Zimperium, Paytm và Remini – sử dụng API này để giúp bảo vệ doanh nghiệp của họ.

Chúng tôi đang tiếp tục cải thiện Play Integrity API, giúp API này dễ tích hợp hơn, có khả năng phục hồi tốt hơn trước các cuộc tấn công tinh vi và có khả năng phục hồi tốt hơn cho những người dùng không đáp ứng các tiêu chuẩn về tính toàn vẹn hoặc gặp lỗi với lời nhắc mới về biện pháp khắc phục trong ứng dụng Play.

Phát hiện các mối đe doạ đối với doanh nghiệp của bạn

API Tính toàn vẹn của Play cung cấp các kết quả được thiết kế để phát hiện các mối đe doạ cụ thể ảnh hưởng đến lợi nhuận của bạn trong các lượt tương tác quan trọng.

• Truy cập trái phép: Kết quả accountDetails giúp bạn xác định xem người dùng đã cài đặt hoặc thanh toán cho ứng dụng hoặc trò chơi của bạn trên Google Play hay chưa.
• Giả mạo mã: Kết quả appIntegrity giúp bạn xác định xem bạn có đang tương tác với tệp nhị phân chưa sửa đổi mà Google Play nhận dạng được hay không.
• Thiết bị có rủi ro và môi trường mô phỏng: Kết quả deviceIntegrity giúp bạn xác định xem ứng dụng của bạn có đang chạy trên một thiết bị Android chính hãng được chứng nhận bởi Play Protect hay một phiên bản chính hãng của Google Play Games dành cho máy tính hay không.
• Thiết bị chưa được vá: Đối với các thiết bị chạy Android 13 trở lên, phản hồi MEETS_STRONG_INTEGRITY trong kết quả deviceIntegrity giúp bạn xác định xem một thiết bị đã áp dụng các bản cập nhật bảo mật gần đây hay chưa. Bạn cũng có thể chọn tham gia deviceAttributes để đưa phiên bản SDK Android đã chứng thực vào phản hồi.
• Truy cập có rủi ro của các ứng dụng khác: appAccessRiskVerdict giúp bạn xác định xem có ứng dụng nào đang chạy có thể được dùng để chụp màn hình, hiển thị lớp phủ hoặc điều khiển thiết bị hay không (ví dụ: bằng cách sử dụng sai quyền hỗ trợ tiếp cận). Kết quả này sẽ tự động loại trừ những ứng dụng phục vụ các mục đích hỗ trợ tiếp cận chính đáng.
• Phần mềm độc hại đã biết: playProtectVerdict giúp bạn xác định xem Google Play Protect đã được bật hay chưa, cũng như liệu Google Play Protect có tìm thấy trên thiết bị này ứng dụng nào gây rủi ro hoặc nguy hiểm hay không.
• Hoạt động quá mức: Mức recentDeviceActivity giúp bạn xác định xem một thiết bị có thực hiện một số lượng yêu cầu mã thông báo về tính toàn vẹn cao bất thường gần đây hay không. Đây có thể là dấu hiệu của lưu lượng truy cập tự động và có thể là dấu hiệu của một cuộc tấn công.
• Hành vi sai trái lặp lại và thiết bị được dùng lại: deviceRecall (phiên bản beta) giúp bạn xác định xem bạn có đang tương tác với một thiết bị mà bạn đã gắn cờ trước đó hay không, ngay cả khi ứng dụng của bạn được cài đặt lại hoặc thiết bị được đặt lại. Với tính năng ghi nhớ thiết bị, bạn có thể tuỳ chỉnh các hành động lặp lại mà bạn muốn theo dõi.

Bạn có thể sử dụng API này trên nhiều kiểu dáng thiết bị Android, bao gồm cả điện thoại, máy tính bảng, thiết bị có thể gập lại, Android Auto, Android TV, Android XR, ChromeOS, Wear OS và trên Google Play Games dành cho máy tính.

Khai thác tối đa API Tính toàn vẹn của Play

Các ứng dụng và trò chơi đã thành công với API Tính toàn vẹn của Play bằng cách tuân theo các yếu tố cần cân nhắc về bảo mật và áp dụng phương pháp từng bước cho chiến lược chống hành vi sai trái.

Bước 1: Quyết định những gì bạn muốn bảo vệ: Quyết định những hành động và yêu cầu gửi đến máy chủ trong ứng dụng và trò chơi của bạn là quan trọng để xác minh và bảo vệ. Ví dụ: bạn có thể thực hiện kiểm tra tính toàn vẹn khi người dùng khởi chạy ứng dụng, đăng nhập, tham gia trò chơi nhiều người chơi, tạo nội dung AI hoặc chuyển tiền.

Bước 2: Thu thập các phản hồi về kết quả về tính toàn vẹn: Thực hiện kiểm tra tính toàn vẹn vào những thời điểm quan trọng để bắt đầu thu thập dữ liệu kết quả, ban đầu không thực thi. Bằng cách đó, bạn có thể phân tích các phản hồi cho cơ sở cài đặt của mình và xem các phản hồi này tương quan với các tín hiệu về hành vi sai trái hiện có và dữ liệu về hành vi sai trái trong quá khứ như thế nào.

Bước 3: Quyết định chiến lược thực thi: Quyết định chiến lược thực thi dựa trên kết quả phân tích các phản hồi và những gì bạn đang cố gắng bảo vệ. Ví dụ: bạn có thể thay đổi lưu lượng truy cập có rủi ro vào những thời điểm quan trọng để bảo vệ chức năng nhạy cảm. API này cung cấp nhiều phản hồi để bạn có thể triển khai chiến lược thực thi theo cấp dựa trên mức độ tin cậy mà bạn dành cho mỗi tổ hợp phản hồi.

Bước 4: Ra mắt dần dần việc thực thi và hỗ trợ người dùng: Ra mắt dần dần việc thực thi. Xây dựng chiến lược thử lại khi kết quả gặp vấn đề hoặc không có sẵn và chuẩn bị hỗ trợ những người dùng tốt gặp vấn đề. Lời nhắc mới về biện pháp khắc phục trong ứng dụng Play (được mô tả bên dưới) giúp người dùng gặp vấn đề dễ dàng trở lại trạng thái tốt hơn bao giờ hết.

MỚI: Cho phép Play tự động phục hồi người dùng gặp vấn đề

Việc quyết định cách phản hồi các tín hiệu về tính toàn vẹn khác nhau có thể phức tạp. Bạn cần xử lý nhiều phản hồi về tính toàn vẹn và mã lỗi API (như sự cố mạng hoặc Dịch vụ Google Play đã lỗi thời). Chúng tôi đang đơn giản hoá việc này bằng lời nhắc mới về biện pháp khắc phục trong ứng dụng Play. Bạn có thể cho người dùng thấy lời nhắc của Google Play để tự động khắc phục nhiều vấn đề ngay trong ứng dụng của bạn. Điều này giúp giảm độ phức tạp khi tích hợp, đảm bảo giao diện người dùng nhất quán và giúp nhiều người dùng trở lại trạng thái tốt hơn.

GET_INTEGRITY tự động phát hiện vấn đề (trong ví dụ này là lỗi mạng) và giải quyết vấn đề đó.

Bạn có thể kích hoạt hộp thoại GET_INTEGRITY (có trong thư viện API Play Integrity phiên bản 1.5.0 trở lên) sau một loạt vấn đề để tự động hướng dẫn người dùng thực hiện các biện pháp khắc phục cần thiết, bao gồm:

• Truy cập trái phép: GET_INTEGRITY hướng dẫn người dùng quay lại phản hồi được cấp phép của Play trong accountDetails.
• Giả mạo mã: GET_INTEGRITY hướng dẫn người dùng quay lại phản hồi được Play nhận dạng trong appIntegrity.
• Vấn đề về tính toàn vẹn của thiết bị: GET_INTEGRITY hướng dẫn người dùng cách quay lại trạng thái MEETS_DEVICE_INTEGRITY trong deviceIntegrity.
• Mã lỗi có thể khắc phục: GET_INTEGRITY giải quyết các lỗi API có thể khắc phục, chẳng hạn như nhắc người dùng khắc phục vấn đề về kết nối mạng hoặc cập nhật Dịch vụ Google Play.

Chúng tôi cũng cung cấp các hộp thoại chuyên biệt, bao gồm GET_STRONG_INTEGRITY (hoạt động giống như GET_INTEGRITY, đồng thời đưa người dùng trở lại trạng thái MEETS_STRONG_INTEGRITY mà không có vấn đề nào về phần mềm độc hại đã biết trong playProtectVerdict), GET_LICENSED (đưa người dùng trở lại trạng thái được Play cấp phép và Play nhận dạng), cũng như CLOSE_UNKNOWN_ACCESS_RISK và CLOSE_ALL_ACCESS_RISK (nhắc người dùng đóng các ứng dụng có khả năng gây rủi ro).

Chọn các giải pháp hiện đại về tính toàn vẹn

Ngoài Play Integrity API, Google còn cung cấp một số tính năng khác mà bạn nên cân nhắc trong chiến lược chống hành vi sai trái tổng thể. Cả API Tính toàn vẹn của Play và tính năng tự động bảo vệ của Play đều mang lại lợi ích cho nhà phát triển và trải nghiệm người dùng để bảo vệ việc phân phối ứng dụng. Chúng tôi khuyến khích các ứng dụng hiện có di chuyển sang các giải pháp hiện đại về tính toàn vẹn này thay vì sử dụng thư viện cấp phép Play cũ.

Tính năng tự động bảo vệ:  Ngăn chặn hành vi truy cập trái phép bằng tính năng tự động bảo vệ của Google Play và đảm bảo người dùng tiếp tục nhận được các bản cập nhật ứng dụng chính thức của bạn. Hãy bật tính năng này và Google Play sẽ tự động thêm quy trình kiểm tra trình cài đặt vào mã của ứng dụng mà không yêu cầu nhà phát triển phải tích hợp. Nếu ứng dụng được bảo vệ của bạn được phân phối lại hoặc chia sẻ thông qua một kênh khác, thì người dùng sẽ được nhắc tải ứng dụng của bạn xuống qua Google Play. Các nhà phát triển đủ điều kiện trên Play cũng có quyền truy cập vào tính năng bảo vệ chống giả mạo nâng cao của Play. Tính năng này sử dụng kỹ thuật làm rối mã và các quy trình kiểm tra trong thời gian chạy để khiến kẻ tấn công khó sửa đổi và phân phối lại các ứng dụng được bảo vệ hơn và tốn kém hơn.

Chứng thực khoá nền tảng Android:  Play Integrity API là cách được đề xuất để hưởng lợi từ tính năng chứng thực khoá nền tảng Android được hỗ trợ bằng phần cứng. Play Integrity API sẽ xử lý việc triển khai cơ bản trên hệ sinh thái thiết bị, Play sẽ tự động giảm thiểu các vấn đề và sự cố liên quan đến khoá và bạn có thể sử dụng API này để phát hiện các mối đe doạ khác. Những nhà phát triển triển khai trực tiếp tính năng chứng thực khoá thay vì dựa vào Play Integrity API nên chuẩn bị cho việc xoay vòng chứng chỉ gốc của Nền tảng Android sắp tới vào tháng 2 năm 2026 để tránh bị gián đoạn (những nhà phát triển sử dụng Play Integrity API không cần thực hiện bất kỳ hành động nào).

Kiểm tra ứng dụng Firebase: Những nhà phát triển sử dụng Firebase có thể dùng Kiểm tra ứng dụng Firebase để nhận kết quả về tính toàn vẹn của ứng dụng và thiết bị do Play Integrity API cung cấp trên các thiết bị Android được chứng nhận, cùng với các phản hồi từ những nhà cung cấp dịch vụ chứng thực nền tảng khác. Để phát hiện tất cả các mối đe doạ khác và sử dụng các tính năng khác của Play, hãy tích hợp trực tiếp Play Integrity API.

reCAPTCHA Enterprise: Khách hàng doanh nghiệp đang tìm kiếm giải pháp toàn diện để quản lý bot và gian lận có thể mua reCAPTCHA Enterprise cho thiết bị di động. reCAPTCHA Enterprise sử dụng một số tín hiệu chống hành vi sai trái của API Tính toàn vẹn của Play và kết hợp các tín hiệu này với các tín hiệu reCAPTCHA.

Bảo vệ doanh nghiệp của bạn ngay hôm nay

Với nền tảng vững chắc về bảo mật được hỗ trợ bằng phần cứng và các hộp thoại mới về biện pháp khắc phục tự động giúp đơn giản hoá việc tích hợp, Play Integrity API là một công cụ thiết yếu để bảo vệ sự tăng trưởng của bạn.

Bắt đầu sử dụng tài liệu về Play Integrity API.