Menggunakan Play Integrity API untuk mendeteksi interaksi yang berisiko serta melawan penyalahgunaan

Anda dapat menggunakan Play Integrity API untuk melindungi aplikasi dan game Anda dari interaksi yang berisiko. Dengan mengidentifikasi interaksi ini, aplikasi Anda dapat merespons dengan tepat untuk mengurangi risiko serangan dan penyalahgunaan.

Cara kerjanya

Integrity API menyatukan fitur anti-penyalahgunaan Google Play dengan sekumpulan sinyal integritas untuk membantu developer aplikasi dan game Android mendeteksi traffic yang berpotensi menimbulkan risiko dan bersifat menipu. Traffic ini dapat berasal dari versi aplikasi atau game Anda yang telah dimodifikasi, perangkat yang tidak dapat dipercaya, atau lingkungan yang tidak dapat dipercaya lainnya. Dengan mendeteksi traffic ini, Anda dapat merespons dengan tindakan yang sesuai untuk mengurangi risiko serangan dan penyalahgunaan seperti penipuan, kecurangan, dan akses tanpa izin.

Saat pengguna melakukan tindakan yang ditentukan aplikasi atau game, server Anda memerintahkan kode sisi klien untuk memanggil Integrity API. Server Google Play akan menampilkan respons terenkripsi disertai verdict integritas yang menjelaskan apakah Anda dapat memercayai perangkat ini dan binernya atau tidak. Kemudian, aplikasi akan meneruskan respons tersebut ke server Anda untuk diverifikasi. Server Anda dapat menentukan tindakan berikutnya yang harus dilakukan oleh aplikasi atau game Anda. 

API tersebut memberikan verdict integritas dalam respons yang menyertakan informasi berikut:

  • Biner aplikasi asli: Menentukan apakah Anda berinteraksi dengan biner yang tidak dimodifikasi dan dikenali Google Play.
  • Penginstalan Play asli: Menentukan apakah akun pengguna saat ini memiliki lisensi, yang artinya pengguna telah menginstal atau membayar aplikasi atau game Anda di Google Play.
  • Perangkat Android asli: Menentukan apakah aplikasi Anda berjalan di perangkat Android asli yang didukung oleh layanan Google Play (atau instance asli Google Play Game untuk PC).

Tips:

  • Anda dapat memantau status Play Integrity API dan layanan Play lainnya menggunakan dasbor status Google Play.
  • Agar aplikasi Anda mendapatkan manfaat yang maksimal dari Integrity API, ikuti setiap praktik yang direkomendasikan dalam dokumentasi di situs Developer Android.

Menyiapkan dan mengelola Play Integrity API

Mengaktifkan Integrity API untuk aplikasi Anda

Penting: Dengan mengakses atau menggunakan Integrity API, Anda menyetujui Persyaratan Layanan Play Integrity API.

Untuk mengaktifkan respons Integrity API untuk aplikasi, Anda harus menautkan project Google Cloud di Konsol Play. Untuk menautkan project Anda:

  1. Buka Konsol Play, lalu buka halaman Integritas aplikasi (Rilis > Integritas aplikasi).
  2. Scroll ke bagian "Play Integrity API".
  3. Pilih "Tautkan project yang sudah ada" dan project yang ingin ditautkan
  4. Klik Tautkan project cloud.

Untuk mulai mengintegrasikan Integrity API ke dalam aplikasi, Anda harus melakukan hal berikut:

  • Untuk aplikasi Java/Kotlin, instal library Android terbaru yang tersedia untuk Play Integrity API dari Repositori Maven Google.
  • Untuk game Unity,  instal rilis terbaru Plugin Google Play untuk Unity. Semua versi 2019.x, 2020.x dan yang lebih baru didukung. Jika Anda menggunakan Unity 2018.x, instal versi 2018.4 atau yang lebih baru. Jika Anda menggunakan Unity 2017.x, instal versi 2017.4.40 atau yang lebih baru. Unity 5.x dan yang lebih lama tidak didukung.
  • Untuk aplikasi dan game Native, instal Play Core Native SDK terbaru.

Sekarang Anda dapat mengikuti langkah-langkah di situs Android Developers untuk mulai menggunakan Play Integrity API di aplikasi atau game Anda.

(Opsional) Menyesuaikan respons Integrity API 

Respons API berikut dikonfigurasi secara default:

Respons API Label Deskripsi
Integritas perangkat MEETS_DEVICE_INTEGRITY

Aplikasi berjalan di perangkat Android yang didukung oleh layanan Google Play. Perangkat lulus pemeriksaan integritas sistem dan memenuhi persyaratan kompatibilitas Android.

Tanpa label (nilai kosong)

Aplikasi berjalan di perangkat yang memiliki tanda-tanda serangan (seperti hooking API) atau penyusupan sistem (seperti di-root), atau aplikasi tidak berjalan di perangkat fisik (seperti emulator yang tidak lulus pemeriksaan integritas Google Play).

Detail akun LICENSED

Pengguna memiliki hak aplikasi. Dengan kata lain, pengguna menginstal atau membeli aplikasi Anda di Google Play. Pengguna tetap memiliki hak aplikasi setelah meng-uninstal aplikasi, sehingga akun pengguna akan tetap memiliki lisensi jika nanti pengguna mendapatkan aplikasi yang sama dengan cara lain.

UNLICENSED

Pengguna tidak memiliki hak aplikasi. Hal ini terjadi saat, misalnya, pengguna melakukan sideload pada aplikasi Anda atau tidak menginstalnya dari Google Play.

UNEVALUATED

Detail pemberian lisensi tidak dievaluasi karena persyaratan yang diperlukan tidak terpenuhi. Hal ini dapat terjadi karena beberapa alasan, termasuk:

  • Perangkat tidak cukup tepercaya.
  • Versi aplikasi yang diinstal di perangkat tidak dikenal oleh Google Play.
  • Versi aplikasi yang diinstal di perangkat tidak dikenal oleh Google Play.
Integritas aplikasi PLAY_RECOGNIZED

Aplikasi dan sertifikat cocok dengan versi yang didistribusikan oleh Google Play.

UNRECOGNIZED_VERSION

Nama paket atau sertifikat tidak cocok dengan data Google Play.

UNEVALUATED

Integritas aplikasi tidak dievaluasi. Persyaratan yang diperlukan tidak terpenuhi, seperti perangkat tidak cukup tepercaya.

 

Anda juga dapat memilih untuk menerima respons API berikut:

Respons API Label Deskripsi
Integritas perangkat MEETS_BASIC_INTEGRITY Aplikasi berjalan di perangkat yang telah lulus pemeriksaan integritas sistem dasar. Perangkat mungkin tidak memenuhi persyaratan kompatibilitas Android dan mungkin tidak disetujui untuk menjalankan layanan Google Play. Misalnya, perangkat mungkin menjalankan versi Android yang tidak dikenal, mungkin memiliki bootloader yang tidak terkunci, atau mungkin belum disertifikasi oleh produsen.
MEETS_STRONG_INTEGRITY

Aplikasi ini berjalan di perangkat Android yang didukung oleh layanan Google Play dan memiliki jaminan kuat atas integritas sistem seperti keystore yang didukung hardware. Perangkat lulus pemeriksaan integritas sistem dan memenuhi persyaratan kompatibilitas Android.

 

Setelah memilih untuk menerima label tambahan, respons integritas akan menyertakan beberapa label untuk perangkat yang sama jika setiap kriteria label terpenuhi. Anda dapat mempersiapkan server backend untuk berperilaku berbeda bergantung pada rentang kemungkinan respons. Misalnya, perangkat yang menampilkan MEETS_BASIC_INTEGRITY, MEETS_DEVICE_INTEGRITY, dan MEETS_STRONG_INTEGRITY dapat lebih dipercaya daripada perangkat yang hanya menampilkan MEETS_BASIC_INTEGRITY, sehingga cara server Anda merespons dapat disesuaikan dengan tepat.

Jika mendistribusikan aplikasi ke Google Play Game untuk PC, Anda akan otomatis diikutsertakan untuk menerima respons API berikut:

Anda juga dapat memilih untuk menerima respons API berikut:

Respons API Label Deskripsi
Integritas perangkat MEETS_VIRTUAL_INTEGRITY Aplikasi berjalan di Android emulator yang didukung oleh layanan Google Play. Emulator lulus pemeriksaan integritas sistem dan memenuhi persyaratan kompatibilitas inti Android.


Untuk mengedit respons API:

  1. Buka Konsol Play, lalu buka halaman Integritas aplikasi (Rilis > Integritas aplikasi).
  2. Scroll ke bagian "Play Integrity API".
  3. Klik Setelan.
  4. Scroll ke bagian "Respons".
  5. Klik Edit.
  6. Pilih atau batalkan pilihan pada kotak centang di samping respons API yang ingin diubah.
  7. Klik Simpan perubahan.

Penting: Perubahan pada respons API akan segera diterapkan setelah Anda menyimpannya, termasuk saat aplikasi berada dalam tahap produksi. Sebelum mengubah rangkaian respons API di Konsol Play, pastikan server Anda telah siap menerima respons tersebut.

(Opsional) Mengonfigurasi setelan permintaan klasik

Secara default, Google mengelola enkripsi respons Anda untuk permintaan klasik. Namun, Anda dapat memilih untuk mengelola sendiri enkripsi respons jika menginginkannya. 

Penting: Mengubah enkripsi respons yang dikelola oleh Google dan yang dikelola sendiri memerlukan perubahan kode pada server backend.

Untuk mengelola sendiri enkripsi respons:

  1. Buka Konsol Play, lalu buka halaman Integritas aplikasi (Rilis > Integritas aplikasi).
  2. Scroll ke bagian "Play Integrity API".
  3. Klik Setelan.
  4. Scroll ke bagian "Permintaan klasik". Di samping "Enkripsi respons", statusnya akan menjadi "Dikelola oleh Google" secara default. Klik Ubah.
  5. Pilih "Kelola dan download kunci enkripsi respons saya", lalu klik Simpan perubahan. Google akan membuat kunci enkripsi respons yang dapat Anda download dan kelola. Anda harus mengupdate logika server backend agar menggunakan kunci untuk mendekripsi respons.
  6. Untuk mendownload kunci API Anda, ikuti petunjuk di layar guna membuat file .pem dan menguploadnya.
  7. Pesan di layar akan mengonfirmasi bahwa pengelolaan enkripsi respons Anda telah diperbarui.
  8. Download kunci enkripsi respons baru dan update server backend Anda untuk mendekripsi respons menggunakan kunci tersebut dalam tahap produksi. Kembali ke tab Integrity API di halaman Integritas Aplikasi agar Google Play dapat mulai menggunakan kunci enkripsi respons baru dan bukan kunci lama. Perubahan ini bersifat langsung.

Jika ingin mengembalikan status dari dikelola sendiri menjadi dikelola Google:

  1. Buka Konsol Play, lalu buka halaman Integritas aplikasi (Rilis > Integritas aplikasi).
  2. Scroll ke bagian "Play Integrity API".
  3. Klik Setelan.
  4. Scroll ke bagian "Permintaan klasik". Di samping "Enskripsi respons", akan muncul status "Dikelola sendiri" karena sebelumnya telah Anda ubah. Klik Ubah.
  5. Pilih "Izinkan Google mengelola enkripsi respons saya (direkomendasikan)", lalu klik Simpan perubahan. Google akan membuat dan mengelola kunci enkripsi respons Anda. Server backend Anda akan memanggil server Google Play untuk mendekripsi respons.

Menguji integrasi Play Integrity API

Anda dapat menyiapkan daftar akun Gmail untuk menguji integrasi Integrity API. Pertama, pastikan penguji memiliki akses ke rilis Anda:

  • Publikasikan aplikasi Anda ke jalur pengujian internal atau jalur yang ingin digunakan untuk menguji. Kemudian, ikuti petunjuk untuk mengelola penguji melalui alamat email atau menggunakan Google Grup sehingga penguji dapat mengakses rilis Anda.

Untuk menyiapkan pengujian:

  1. Buka Konsol Play, lalu buka halaman Integritas aplikasi (Rilis > Integritas aplikasi).
  2. Scroll ke bagian “Play Integrity API”.
  3. Klik Setelan.
  4. Scroll ke bagian "Pengujian".
  5. Klik Buat pengujian baru.
  6. Pilih daftar email atau buat daftar baru.
  7. Klik Buat pengujian.

Meningkatkan permintaan maksimum harian Play Integrity API

Aplikasi dapat membuat hingga 10.000 permintaan per hari ke Integrity API secara default.

Untuk melihat volume permintaan harian yang dibuat aplikasi Anda:

  1. Buka Konsol Play, lalu buka halaman Integritas aplikasi (Rilis > Integritas aplikasi).
  2. Scroll ke bagian “Play Integrity API”.
  3. Lihat jumlah permintaan harian Anda. Anda dapat mengklik Lihat laporan Integrity API untuk melihat lebih banyak data, mengubah jangka waktu, dan menerapkan filter.

Untuk melihat permintaan maksimum harian aplikasi Anda:

  1. Buka Konsol Play, lalu buka halaman Integritas aplikasi (Rilis > Integritas aplikasi).
  2. Scroll ke bagian “Play Integrity API”.
  3. Klik Setelan.
  4. Lihat tingkat penggunaan Anda.

Anda dapat meminta untuk membuat lebih dari 10.000 permintaan per hari. Agar memenuhi syarat, Anda harus:

  • Memastikan penerapan logika API sudah benar, termasuk percobaan ulangnya.
  • Memublikasikan aplikasi Anda di Google Play selain di saluran distribusi lainnya.

Untuk meningkatkan permintaan maksimum harian Anda, lengkapi formulir ini.

Konten terkait

Apakah ini membantu?

Bagaimana cara meningkatkannya?

Perlu bantuan lain?

Coba langkah-langkah selanjutnya berikut:

Telusuri
Hapus penelusuran
Tutup penelusuran
Aplikasi Google
Menu utama
3584007234087255845
true
Pusat Bantuan Penelusuran
true
true
true
true
true
92637