Ngăn chặn hành vi phân phối lại trái phép bằng tính năng tự động bảo vệ và nhắc người dùng tải ứng dụng của bạn xuống qua Google Play

Tính năng tự động bảo vệ có thể thêm quy trình kiểm tra trình cài đặt của Google Play vào mã nguồn ứng dụng của bạn. Quy trình này diễn ra trong thời gian ứng dụng chạy ngay sau khi được mở. Nếu quy trình kiểm tra cho thấy ứng dụng không được cài đặt từ Google Play, người dùng sẽ thấy lời nhắc tải ứng dụng của bạn qua Google Play. 

Lợi ích: Điều này giúp nhiều người dùng nhận được bản cập nhật ứng dụng chính thức từ Google Play.

Tính năng tự động bảo vệ có thể thêm quy trình kiểm tra trong thời gian chạy vào mã nguồn ứng dụng để phát hiện hành vi sửa đổi, đồng thời sử dụng các kỹ thuật làm rối mã nguồn nâng cao nhằm ngăn chặn việc loại bỏ hoặc đảo ngược kỹ thuật quy trình kiểm tra đó. Nếu quy trình kiểm tra cho thấy ứng dụng không được cài đặt từ Google Play, người dùng sẽ thấy lời nhắc tải ứng dụng của bạn qua Google Play, nếu không ứng dụng sẽ không chạy.

Lợi ích: Khi kết hợp với tính năng kiểm tra trình cài đặt của Google Play, tính năng bảo vệ chống giả mạo sẽ ngăn kẻ tấn công bỏ qua lựa chọn ưu tiên về việc phân phối hoặc kiếm tiền của bạn thông qua việc sửa đổi, đóng gói lại, phân phối lại trái phép và vi phạm bản quyền.

Lưu ý: Tính năng bảo vệ chống giả mạo không thể đảm bảo ngăn chặn mọi hành vi sửa đổi và phân phối lại. Tính năng này khiến những hành động này trở nên phức tạp và tốn kém hơn, qua đó giảm khả năng thực hiện thành công. Google Play sẽ liên tục tăng cường tính năng bảo vệ chống giả mạo để các bản phát hành mới sẽ tự động có được tính năng bảo vệ mới nhất và mạnh mẽ nhất.

Việc chia sẻ với Google Play dữ liệu đo từ xa về ứng dụng (chẳng hạn như dữ liệu hiệu suất và dữ liệu môi trường được ẩn danh) giúp chúng tôi cải thiện khả năng phục hồi và hiệu suất của tính năng bảo vệ chống giả mạo. Bạn có thể chọn không chia sẻ dữ liệu đo từ xa về ứng dụng bằng cách tắt chế độ "Chia sẻ với Google dữ liệu đo từ xa về ứng dụng" trên trang Cài đặt tính năng tự động bảo vệ (Kiểm thử và phát hành > Tính toàn vẹn của ứng dụng rồi di chuyển xuống Tự động bảo vệ). Tìm hiểu thêm về cách dữ liệu được dùng để phát triển các dịch vụ của Google.

Tính năng tự động bảo vệ đảm bảo rằng ứng dụng của bạn chỉ được cung cấp trên Google Play cho người dùng sử dụng những thiết bị đáp ứng quy trình kiểm tra tính toàn vẹn của thiết bị. Đối với những ứng dụng nhắm đến cấp độ API tối thiểu từ 28 trở lên, tính năng này có thể thêm quy trình kiểm tra tính toàn vẹn của thiết bị và một lớp mã hoá dựa trên phần cứng vào chế độ bảo vệ chống giả mạo trong thời gian chạy của ứng dụng.  

Lợi ích: Quy trình kiểm tra thiết bị đảm bảo rằng ứng dụng của bạn được cài đặt từ Play trên các thiết bị Android đã được chứng nhận. Quy trình này cũng gây nhiều khó khăn hơn cho những kẻ tấn công khi chúng chạy ứng dụng của bạn trong các môi trường không xác định và mô phỏng nhằm vượt qua các biện pháp bảo vệ.

Lưu ý: Bạn phải bật tính năng bảo vệ chống giả mạo để thực hiện quy trình kiểm tra thiết bị. Đối với những ứng dụng có cấp độ API tối thiểu từ 28 trở lên, quy trình kiểm tra thiết bị sẽ thêm một lớp mã hoá dựa trên phần cứng vào các biện pháp bảo vệ chống giả mạo của ứng dụng. Người dùng có thể nhìn thấy màn hình chờ Android trong chốc lát khi mở ứng dụng của bạn từ trạng thái khởi động nguội.

Tính năng bảo vệ tự động yêu cầu Google Play phải tạo APK đã sửa đổi và ký APK đó thay mặt bạn nên bạn phải:

• Sử dụng Tính năng ký ứng dụng của Play.
• Xuất bản bằng Android App Bundle.

Ngoài ra, hãy lưu ý những điều sau:

• Tính năng tự động bảo vệ yêu cầu ứng dụng của bạn phải nhắm đến API có cấp độ tối thiểu là 21 trở lên.
• Tính năng tự động bảo vệ vẫn hoạt động khi không kết nối mạng. Tuy nhiên, quy trình kiểm tra trình cài đặt định kỳ yêu cầu kết nối dữ liệu nếu ứng dụng Cửa hàng Play trên thiết bị không có kết nối mạng trong một thời gian dài.
• Tính năng tự động bảo vệ giúp bạn không cần phải sử dụng thư viện Cấp phép của Play.
• Khi tải ứng dụng lên tính năng chia sẻ ứng dụng nội bộ, tính năng bảo vệ sẽ không hoạt động. Chỉ chia sẻ đường liên kết chia sẻ ứng dụng nội bộ với những thành viên tin cậy trong nhóm và không chia sẻ phiên bản không được bảo vệ ra bên ngoài.
• Tính năng tự động bảo vệ không tương thích với cơ chế minh bạch mã cho gói ứng dụng.

Các điều kiện tiên quyết khác để sử dụng tính năng bảo vệ chống giả mạo

Để sử dụng tính năng bảo vệ chống giả mạo, ứng dụng của bạn phải:

• Nhắm đến API có cấp độ tối thiểu là API cấp 23 trở lên. Việc nhắm đến midSDKVersion từ 23 trở lên sẽ tiếp cận được hơn 99% số thiết bị Android đang hoạt động.
• Nhắm đến một trong các ABI sau: x86, x86_64, armeabi-v7a và arm64-v8a. Để cập nhật các ABI mà ứng dụng nhắm đến, hãy cập nhật chế độ cài đặt Gradle. Những ABI khác không được thiết bị Android đang hoạt động sử dụng có thể bị xoá khỏi tiêu chí nhắm mục tiêu của bạn mà không ảnh hưởng đến sự hiện diện của ứng dụng.

Tạo một bản phát hành như mô tả trong Bước 1 của bài viết Chuẩn bị và ra mắt bản phát hành.

Bạn có thể bật tính năng bảo vệ khi tạo bản phát hành (như mô tả trong Bước 2 của bài viết Chuẩn bị và ra mắt bản phát hành) hoặc bạn có thể bật tính năng bảo vệ trên trang Tính toàn vẹn của ứng dụng (Thử nghiệm và phát hành > Tính toàn vẹn của ứng dụng), trong đó có dịch vụ ký và bảo vệ tính toàn vẹn để bạn chắc chắn rằng người dùng trải nghiệm ứng dụng và trò chơi của bạn theo đúng cách bạn mong muốn.

Khi chuẩn bị bản phát hành, bạn sẽ thấy một nút có nội dung Bật tính năng bảo vệ tính toàn vẹn hoặc Quản lý dịch vụ bảo vệ tính toàn vẹn. Sau đó, bạn có thể bật tính năng bảo vệ tính toàn vẹn bằng cách nhấp vào Có, bật trong phần "Tự động bảo vệ". Tiếp theo, Google Play sẽ ký các bản phát hành của bạn và thêm quy trình kiểm tra trình cài đặt nhằm hạn chế hành vi phân phối trái phép. Điều này cũng có nghĩa là tính năng tự động bảo vệ hiện đã được bật.

Hoàn tất việc chuẩn bị bản phát hành và lưu các thay đổi của bạn.

Google Play sẽ tự động phân phối các bản dựng được bảo vệ lên mọi kênh: kiểm thử nội bộ, kiểm thử khép kín, kiểm thử công khai và phát hành công khai. Bạn nên thử nghiệm kỹ lưỡng các phiên bản này như thường lệ. Cụ thể:

• Kiểm thử việc mở trò chơi để xác định xem có sự cố khi mở hay tốc độ khởi động có chậm hay không. Điều này đặc biệt quan trọng đối với quy trình kiểm tra thiết bị.
• Kiểm thử các trường hợp mà mã gốc (C/C++) của bạn gọi ngược trở lại Java (trong mã riêng của bạn hoặc thư viện của bên thứ ba), chẳng hạn như quảng cáo, hoạt động ghi nhật ký, tích hợp và xác thực mạng xã hội, hoặc các tính năng dành riêng cho Android như xử lý quyền.

Nếu gặp vấn đề trong quá trình kiểm thử, bạn có thể quay lại phiên bản tính năng tự động bảo vệ trước đó (có thể đã sử dụng trong bản phát hành trước) hoặc bạn có thể tắt tính năng tự động bảo vệ. Bạn không nên quảng bá phiên bản không được bảo vệ lên những kênh kiểm thử mở hoặc kênh phát hành chính thức.

Nếu bạn tải trực tiếp bản dựng của ứng dụng lên tính năng chia sẻ ứng dụng nội bộ, thì Google Play sẽ không thêm tính năng bảo vệ. Việc này nhằm cho phép bạn sử dụng tính năng chia sẻ ứng dụng nội bộ để tải bản gỡ lỗi và các bản dựng tương tự khác lên.