Usare l'API Play Integrity per rilevare interazioni rischiose e contrastare gli abusi

Puoi usare l'API Play Integrity per proteggere le tue app e i tuoi giochi da interazioni rischiose. Se identifichi queste interazioni, la tua app può rispondere in modo appropriato per ridurre il rischio di attacchi e abusi.

Come funziona

L'API Integrity unisce le funzionalità anti-abuso di Google Play a un insieme di indicatori di integrità per aiutare gli sviluppatori di app e giochi per Android a rilevare il traffico potenzialmente rischioso e fraudolento. Questo traffico potrebbe provenire da versioni modificate della tua app o del tuo gioco, da dispositivi non attendibili o da altri ambienti non affidabili. Rilevando questo traffico, puoi rispondere adottando le misure appropriate per ridurre attacchi e abusi quali attività fraudolente, truffe e accesso non autorizzato.

Quando un utente compie un'azione definita nell'app o nel gioco, il tuo server chiede al codice lato client di richiamare l'API Integrity. Il server di Google Play restituisce una risposta criptata con un esito relativo all'integrità che indica se il dispositivo in questione e il relativo programma binario sono attendibili o meno. Dopodiché, la tua app inoltra la risposta al tuo server per la verifica. Il server può decidere quale debba essere l'operazione successiva eseguita dall'app o dal gioco. 

L'API fornisce un esito relativo all'integrità in una risposta che include le seguenti informazioni:

  • File binario dell'app originale: consente di stabilire se stai interagendo o meno con il tuo file binario non modificato riconosciuto da Google Play.
  • Installazione Play originale: consente di stabilire se l'account utente corrente è autorizzato o meno, ossia se l'utente ha installato o acquistato l'app o il gioco su Google Play.
  • Dispositivo Android originale: consente di stabilire se la tua app è installata o meno su un dispositivo Android originale con Google Play Services (o un'istanza originale di Google Play Giochi per PC).

Puoi anche scegliere di ricevere maggiori informazioni sull'ambiente nell'esito relativo all'integrità:

  • Rischio derivante dall'accesso alle app: determina se sono in esecuzione altre app che potrebbero acquisire la schermata, visualizzare overlay sulla tua app o controllare il dispositivo.
  • Rischio derivante da malware noti: determina se la funzionalità Google Play Protect è attiva e se ha rilevato malware noti sul dispositivo.

Suggerimenti:

Configurare e gestire l'API Play Integrity

Attivare l'API Integrity per la tua app

Importante: se accedi all'API Integrity o la utilizzi, accetti i Termini di servizio dell'API Play Integrity.

Per attivare le risposte dell'API Integrity per la tua app, devi collegare un progetto Google Cloud in Play Console. Per collegare il tuo progetto:

  1. Apri Play Console e vai alla pagina Integrità dell'app (

    Testa e rilascia

    > Integrità dell'app).
  2. Scorri fino alla sezione "API Play Integrity".
  3. Scegli "Collega progetto esistente" e il progetto a cui vuoi collegarti.
  4. Fai clic su Collega progetto Cloud.

Per iniziare a integrare l'API Integrity nella tua app, devi fare quanto segue:

  • Per le app Java/Kotlin, installa la libreria Android più recente disponibile per l'API Play Integrity dal repository Maven di Google.
  • Per i giochi Unity, installa la versione più recente dei plug-in di Google Play per Unity. Sono supportate tutte le versioni 2019.x, 2020.x e successive. Se utilizzi Unity 2018.x, installa la versione 2018.4 o una versione successiva. Se utilizzi Unity 2017.x, installa la versione 2017.4.40 o una versione successiva. Le versioni Unity 5.x e precedenti non sono supportate.
  • Per app e giochi nativi, installa la versione più recente dell'SDK nativo della libreria di base Play.

Ora puoi svolgere questi passaggi sul sito Android for Developers per iniziare a utilizzare l'API Play Integrity nella tua app o nel tuo gioco.

(Facoltativo) Personalizzare le risposte dell'API Integrity 

Per scoprire come configurare le risposte relative all'integrità delle API, visita il sito per sviluppatori Android

Per modificare le risposte dell'API:

  1. Apri Play Console e vai alla pagina Integrità dell'app (

    Testa e rilascia

    > Integrità dell'app).
  2. Scorri fino alla sezione "API Play Integrity".
  3. Fai clic su Impostazioni.
  4. Scorri fino alla sezione "Risposte".
  5. Fai clic su Modifica.
  6. Seleziona o deseleziona le caselle di controllo accanto alle risposte dell'API che vuoi modificare.
  7. Fai clic su Salva modifiche.

Importante: le modifiche apportate alle risposte dell'API vengono applicate subito dopo averle salvate, anche quando l'app è in produzione. Prima di cambiare l'insieme di risposte dell'API in Play Console, assicurati che il tuo server sia pronto ad accettare quelle risposte.

(Facoltativo) Configurare le impostazioni relative alle richieste classiche

Per impostazione predefinita, Google gestisce la crittografia delle risposte per le richieste classiche. Tuttavia, se preferisci, puoi scegliere di gestirla autonomamente. 

Importante: il passaggio dalla gestione da parte di Google della crittografia delle risposte alla gestione autonoma, e viceversa, richiede modifiche al codice sul tuo server di backend.

Per gestire autonomamente la crittografia delle risposte:

  1. Apri Play Console e vai alla pagina Integrità dell'app (

    Testa e rilascia

    > Integrità dell'app).
  2. Scorri fino alla sezione "API Play Integrity".
  3. Fai clic su Impostazioni.
  4. Scorri fino alla sezione "Richieste classiche". Accanto a "Crittografia delle risposte", lo stato sarà "Gestite da Google" per impostazione predefinita. Fai clic su Cambia.
  5. Seleziona "Gestisco e scarico le chiavi di crittografia delle mie risposte in modo autonomo" e fai clic su Salva modifiche. Google genererà le chiavi di crittografia delle risposte affinché tu possa scaricarle e gestirle. Devi aggiornare la logica del tuo server di backend per usare le chiavi al fine di decriptare le risposte.
  6. Segui le istruzioni sullo schermo per generare un file .pem e caricalo per scaricare le chiavi di crittografia.
  7. Un messaggio sullo schermo confermerà che la gestione della crittografia delle risposte è stata aggiornata.
  8. Scarica le nuove chiavi di crittografia delle risposte e aggiorna il server di backend per decriptare le risposte con queste chiavi in produzione. Torna alla scheda API Integrity nella pagina Integrità dell'app per consentire a Google Play di iniziare a utilizzare le nuove chiavi di crittografia delle risposte anziché le chiavi precedenti. Questa modifica è immediata.

Se vuoi tornare dalla gestione autonoma alla gestione da parte di Google:

  1. Apri Play Console e vai alla pagina Integrità dell'app (

    Testa e rilascia

    > Integrità dell'app).
  2. Scorri fino alla sezione "API Play Integrity".
  3. Fai clic su Impostazioni.
  4. Scorri fino alla sezione "Richieste classiche". Accanto a "Crittografia delle risposte", lo stato sarà "Autogestite" perché è stato cambiato in passato. Fai clic su Cambia.
  5. Seleziona l'opzione "Consento a Google di gestire la crittografia delle mie risposte (opzione consigliata)" e fai clic su Salva modifiche. Google genererà e gestirà automaticamente le chiavi di crittografia delle risposte. Il tuo server di backend chiamerà il server di Google Play per decriptare le risposte.

Testare l'integrazione dell'API Play Integrity

Per testare l'integrazione dell'API Integrity, puoi configurare un elenco di account Gmail. Innanzitutto, assicurati che i tester abbiano accesso alla tua release. Pubblica la tua app nel canale di test interno o in quello su cui vuoi eseguire i test. Dopodiché, segui le istruzioni per gestire i tester tramite l'indirizzo email o usare Google Gruppi per consentire ai tester di accedere alla tua release.

Per configurare un test:

  1. Apri Play Console e vai alla pagina Integrità dell'app (

    Testa e rilascia

    > Integrità dell'app).
  2. Scorri fino alla sezione "API Play Integrity".
  3. Fai clic su Impostazioni.
  4. Scorri fino alla sezione "Test".
  5. Fai clic su Crea nuovo test.
  6. Seleziona una mailing list o creane una nuova.
  7. Fai clic su Crea test.

Personalizzare la scheda dello Store quando gli utenti la visitano dalle finestre di dialogo dell'API Integrity

Puoi usare una finestra di dialogo di correzione dell'API Integrity per chiedere agli utenti che hanno ottenuto la tua app in modo non ufficiale di scaricarla da Google Play. Quando gli utenti toccano la finestra di dialogo, vengono reindirizzati alla tua scheda dello Store, dove possono toccare i pulsanti Installa, Acquista o Aggiorna per aggiungere l'app alla raccolta di Google Play dell'utente.

Puoi personalizzare gli asset della scheda dello Store per tutti i visitatori che toccano le finestre di dialogo di correzione dell'API Integrity, nonché il nome, l'icona, le descrizioni e le risorse grafiche della tua app. Per personalizzare la tua scheda dello Store quando gli utenti la visitano da una finestra di dialogo dell'API Integrity:

  1. Apri Play Console e vai alla pagina Integrità dell'app (

    Testa e rilascia

    > Integrità dell'app).
  2. Scorri fino alla sezione "API Play Integrity".
  3. Fai clic su Impostazioni.
  4. Scorri fino alla sezione "Personalizza scheda dello Store".
  5. Fai clic su Crea scheda.
  6. Segui le istruzioni nella pagina Crea scheda dello Store personalizzata e fai clic su Salva.

In alternativa, puoi creare schede dello Store personalizzate per le finestre di dialogo dell'API Integrity direttamente dalla pagina "Schede dello Store personalizzate":

  1. Apri Play Console e vai alla pagina Schede dello Store personalizzate (Aumenta il numero di utenti > Schede dello Store personalizzate).
  2. Fai clic su Crea scheda, scegli se creare una nuova scheda o duplicarne una esistente, quindi fai clic su Avanti.
  3. In "Dettagli scheda", individua la sezione "Pubblico di destinazione".
  4. Seleziona Tramite URL e digita "playintegrity" nella casella di testo.
  5. Inserisci tutti gli altri dettagli e fai clic su Salva.

Suggerimento: il parametro URL "playintegrity" è una parola chiave speciale riservata ai link diretti per l'integrità, quindi deve essere inserito in modo corretto durante la configurazione della scheda dello Store personalizzata.

Aumentare le richieste massime giornaliere dell'API Play Integrity

Per impostazione predefinita, le app possono effettuare fino a 10.000 richieste al giorno all'API Integrity.

Per visualizzare il volume di richieste effettuate ogni giorno dalla tua app:

  1. Apri Play Console e vai alla pagina Integrità dell'app (

    Testa e rilascia

    > Integrità dell'app).
  2. Scorri fino alla sezione "API Play Integrity".
  3. Visualizza il numero giornaliero di richieste della tua app. Per visualizzare altri dati, modificare il periodo di tempo e applicare filtri, fai clic su Visualizza il report dell'API Integrity.

Per visualizzare le richieste massime giornaliere della tua app:

  1. Apri Play Console e vai alla pagina Integrità dell'app (

    Testa e rilascia

    > Integrità dell'app).
  2. Scorri fino alla sezione "API Play Integrity".
  3. Fai clic su Impostazioni.
  4. Visualizza il livello di utilizzo della tua app.

Puoi richiedere di effettuare più di 10.000 richieste al giorno. Per poterlo fare, devi:

  • Verificare l'implementazione corretta della logica dell'API, inclusi i nuovi tentativi.
  • Pubblicare l'app su Google Play oltre che su eventuali altri canali di distribuzione.

Per aumentare il numero massimo di richieste giornaliere, compila questo modulo.

Contenuti correlati

È stato utile?

Come possiamo migliorare l'articolo?

Hai bisogno di ulteriore assistenza?

Prova i passaggi successivi indicati di seguito:

Ricerca
Cancella ricerca
Chiudi ricerca
Menu principale
4446716080263367037
true
Cerca nel Centro assistenza
true
true
true
true
true
92637
false
false