在行動生態系統中，濫用行為可能會威脅您的收益、成長和使用者信任度。為協助開發人員蓬勃發展，Google Play 提供彈性的威脅偵測服務，也就是 Play Integrity API。Play Integrity API 可協助您驗證互動情形和伺服器要求是否來自認證 Android 裝置，且是由未經修改的應用程式發出 (該應用程式是透過 Google Play 安裝)。

影響相當顯著：與其他應用程式相比，使用 Play Integrity 功能的應用程式，未經授權的使用情形平均少了 80%。目前，Uber、TikTok、Stripe、Kabam、Wooga、Radar.com、Zimperium、Paytm 和 Remini 等各類別的領導者，都使用這項服務來保護自家業務。

我們將持續改良 Play Integrity API，讓整合作業更輕鬆、更有效抵禦複雜攻擊，並透過全新的 Play 應用程式內補救提示，協助不符合完整性標準或發生錯誤的使用者恢復正常。

偵測貴商家面臨的威脅

Play Integrity API 會提供判定結果，協助您在重要互動期間偵測影響收益的特定威脅。

• 未經授權的存取權：accountDetails 判斷結果有助於您判斷使用者是否透過 Google Play 安裝或購買應用程式/遊戲。
• 程式碼竄改：appIntegrity 判定結果可協助您判斷是否與 Google Play 認定的未修改二進位檔互動。
• 有風險的裝置和模擬環境：deviceIntegrity 判定結果可協助您判斷應用程式是否在通過 Play 安全防護認證的正版 Android 裝置上執行，或在正規的 Google Play 遊戲電腦版中執行。
• 未修補的裝置：如果裝置搭載 Android 13 以上版本，deviceIntegrity 判決中的 MEETS_STRONG_INTEGRITY 回應有助於判斷裝置是否已套用最新的安全性更新。您也可以選擇deviceAttributes，在回應中加入經過認證的 Android SDK 版本。
• 其他應用程式的風險存取行為：appAccessRiskVerdict 可協助您判斷是否有應用程式正在執行，這類應用程式可能擷取螢幕畫面、重疊顯示或控制裝置 (例如濫用無障礙服務權限)。如果應用程式確實有助於無障礙功能，系統會自動排除這類應用程式。
• 已知惡意軟體：playProtectVerdict 可協助您判斷 Google Play 安全防護是否已啟用，以及裝置上是否安裝有風險或危險的應用程式。
• 活動過於頻繁：您可以透過 recentDeviceActivity 層級，判斷裝置最近是否發出異常大量的完整性權杖要求。如果發生該情況，表示裝置可能有自動流量或正遭受攻擊。
• 重複濫用和重複使用的裝置： deviceRecall (Beta 版) 可協助您判斷互動的裝置是否曾遭檢舉，即使應用程式已重新安裝或裝置已重設也一樣。透過裝置記憶功能，你可以自訂要追蹤的重複動作。

這項 API 適用於各種 Android 板型規格，包括手機、平板電腦、摺疊式裝置、Android Auto、Android TV、Android XR、ChromeOS、Wear OS，以及 Google Play 遊戲電腦版。

充分運用 Play Integrity API

應用程式和遊戲遵循安全性考量，並採取分階段的方式制定防濫用策略，成功運用 Play Integrity API。

步驟 1：決定要保護的內容：決定應用程式和遊戲中哪些動作和伺服器要求需要驗證和保護。舉例來說，您可以在使用者啟動應用程式、登入、加入多人遊戲、生成 AI 內容或轉移資金時執行完整性檢查。

步驟 2：收集完整性判定結果回應：在重要時刻執行完整性檢查，開始收集判定結果資料，但一開始不會強制執行。這樣一來，您就能分析安裝群組的回應，並瞭解這些回應與現有濫用信號和歷來濫用資料的關聯。

步驟 3：決定執行策略：根據回應分析結果和您想保護的內容，決定執行策略。舉例來說，您可以在重要時刻變更高風險流量，保護敏感功能。API 提供多種回應，因此您可以根據對每種回應組合的信任程度，實作分層強制執行策略。

步驟 4：逐步推出強制執行並為使用者提供支援：逐步推出強制執行。如果判決有問題或無法使用，請制定重試策略，並準備好為遇到問題的優良使用者提供支援。有了下文所述的全新 Play 應用程式內補救提示，您就能比以往更輕鬆地協助使用者解決問題。

新功能：Play 可自動為遇到問題的使用者恢復訂閱狀態

決定如何回應不同的完整性信號可能很複雜，您需要處理各種完整性回應和 API 錯誤代碼 (例如網路問題或過時的 Play 服務)。我們即將推出新的 Play 應用程式內補救提示，簡化這項程序。您可以向使用者顯示 Google Play 提示，直接在應用程式中自動修正各種問題。這樣不但能簡化整合作業、確保使用者介面一致，還能協助更多使用者恢復正常狀態。

GET_INTEGRITY 會自動偵測問題 (在本例中為網路錯誤) 並解決。

在發生一系列問題後，您可以觸發「GET_INTEGRITY」對話方塊 (適用於 Play Integrity API 程式庫 1.5.0 以上版本)，自動引導使用者完成必要修正，包括：

• 未經授權的存取權： GET_INTEGRITY 會將使用者導回 accountDetails 中的 Play 授權回應。
• 程式碼竄改：GET_INTEGRITY 會將使用者導回 appIntegrity 中 Play 認可的回應。
• 裝置完整性問題：GET_INTEGRITY 會引導使用者在 deviceIntegrity 中回到 MEETS_DEVICE_INTEGRITY 狀態。
• 可修正的錯誤代碼：GET_INTEGRITY 會解決可修正的 API 錯誤，例如提示使用者修正網路連線或更新 Google Play 服務。

我們也提供專用對話方塊，包括  GET_STRONG_INTEGRITY (運作方式與 GET_INTEGRITY 類似，同時讓使用者返回 MEETS_STRONG_INTEGRITY 狀態，且 playProtectVerdict 中沒有已知的惡意軟體問題)、GET_LICENSED (讓使用者返回 Play 授權和 Play 認可狀態)，以及 CLOSE_UNKNOWN_ACCESS_RISK 和 CLOSE_ALL_ACCESS_RISK (提示使用者關閉可能具有風險的應用程式)。

選擇現代化完整性解決方案

除了 Play Integrity API，Google 還提供其他幾項功能，建議您納入整體反濫用策略。Play Integrity API 和 Google Play 的自動防護功能都能為使用者和開發人員提供好處，確保應用程式發布安全無虞。我們建議現有應用程式改用這些新式完整性解決方案，而非舊版 Play 授權程式庫。

自動防護： 透過 Google Play 的自動防護功能防範未經授權的存取行為，並確保使用者能持續收到官方應用程式更新。開啟這項功能後，Google Play 就會自動在應用程式的程式碼中加入安裝程式檢查機制，開發人員不必進行任何整合工作。如果受保護的應用程式透過其他管道重新發布或分享，系統會提示使用者前往 Google Play 取得應用程式。符合資格的 Play 開發人員也能使用 Play 的進階防竄改功能，透過模糊處理和執行階段檢查，提高攻擊者修改及轉散布受保護應用程式的難度和成本。

Android 平台金鑰認證： 建議使用 Play Integrity API，充分運用採用專屬硬體支援的 Android 平台金鑰認證。Play Integrity API 會處理裝置生態系統的基礎實作方式，Play 會自動減輕金鑰相關問題和中斷的影響，您也可以使用 API 偵測其他威脅。如果開發人員直接導入金鑰認證，而非使用 Play Integrity API，請為 2026 年 2 月即將進行的 Android 平台根憑證輪替做好準備，以免服務中斷 (使用 Play Integrity API 的開發人員無須採取任何行動)。

Firebase App Check：使用 Firebase 的開發人員可以透過 Firebase App Check，在通過認證的 Android 裝置上接收由 Play Integrity API 提供的應用程式和裝置完整性判定結果，以及其他平台驗證供應商的回應。如要偵測所有其他威脅並使用其他 Play 功能，請直接整合 Play Integrity API。

reCAPTCHA Enterprise：如果企業客戶需要完整的詐欺和機器人管理解決方案，可以購買適用於行動裝置的 reCAPTCHA Enterprise。reCAPTCHA Enterprise 會使用 Play Integrity API 的部分防濫用信號，並與 reCAPTCHA 信號結合。

立即保護您的企業

Play Integrity API 採用專屬硬體安全機制為基礎，並提供新的自動補救對話方塊，簡化整合程序，是保護成長的重要工具。

參閱 Play Integrity API 說明文件，開始使用這項服務。