Google, एपीआई और सेवाओं का एक सेट ऑफ़र करता है, ताकि यह पता लगाया जा सके कि आपका ऐप्लिकेशन सुरक्षित और भरोसेमंद माहौल में चलाया जा रहा है. Play Integrity, चैनल का सेंटरपीस है एपीआई, जिसकी मदद से यह पता लगाया जा सकता है कि इंटरैक्शन सही हैं या नहीं. इसके लिए, संभावित रूप से जोखिम भरे और धोखाधड़ी वाले इंटरैक्शन. ऐप्लिकेशन और डिवाइस इंटिग्रिटी के अलावा, Play Integrity API अब ऐक्सेस और सुलभता से जुड़े जोखिमों के बारे में जानकारी देता है, Google Play Protect और डिवाइस में हाल ही में की गई गतिविधि. और सख्त करने के लिए Android प्लैटफ़ॉर्म, धोखाधड़ी रोकने के लिए आपकी बनाई गई खास तरह की स्थितियों के लिए एपीआई ऑफ़र करता है जो आपके ऐप्लिकेशन के लिए काम के हों.
Play Integrity API
Play Integrity API से, आपको यह जानने में मदद मिलती है कि जिस डिवाइस पर उनका ऐप्लिकेशन चल रहा है. इससे आपको यह भरोसा करने में मदद मिलती है कि सही उपयोगकर्ता संवेदनशील जानकारी को ऐक्सेस कर रहा है.
इससे आपको यह जानने में मदद मिलती है कि इंटरैक्शन और सर्वर के अनुरोध, आपके भरोसेमंद एनवायरमेंट में, असली ऐप्लिकेशन बाइनरी:
- ऐप्लिकेशन बाइनरी सही है या नहीं: इससे यह पता चलता है कि इंटरैक्ट किया जा रहा है या नहीं जिसे Google Play पहचानता है.
- Play से इंस्टॉल किया गया ऐप्लिकेशन: इससे यह पता चलता है कि मौजूदा उपयोगकर्ता खाता लाइसेंस है, जिसका मतलब है कि उपयोगकर्ता ने Google Play से डाउनलोड करें.
- Android डिवाइस भरोसेमंद है या नहीं: इससे आपको पता चलता है कि आपका ऐप्लिकेशन किसी असली डिवाइस पर चल रहा है या नहीं Google Play services की मदद से, Android पर चलने वाला डिवाइस है.
- ऐसा मैलवेयर जिसके बारे में जानकारी नहीं है: देखें कि Google Play Protect की सुविधा चालू है या नहीं और क्या उसे डिवाइस पर जोखिम भरे या खतरनाक ऐप्लिकेशन मिले हैं.
- अन्य ऐप्लिकेशन से ऐक्सेस किए जाने का कम जोखिम: पता लगाएं कि अन्य ऐप्लिकेशन चल रहे हैं या नहीं जो स्क्रीन कैप्चर कर सके या आपके ऐप्लिकेशन में डिवाइस और इनपुट को कंट्रोल कर सके.
इससे धोखाधड़ी को कम करने में कैसे मदद मिलती है
जब कोई उपयोगकर्ता आपके ऐप्लिकेशन में कोई ज़रूरी कार्रवाई करता है, तो आपके पास Play Store को कॉल करने का विकल्प होता है Integrity API. अगर ऐसा नहीं होता, तो आपके ऐप्लिकेशन का बैकएंड सर्वर यह तय कर सकता है कि हम हमलों और धोखाधड़ी से बचाव के लिए ज़रूरी कदम उठाते हैं. उदाहरण के लिए, आपको अतिरिक्त उपयोगकर्ता की पुष्टि करने या संवेदनशील सुविधाओं का ऐक्सेस न देने के लिए.
ऐप्लिकेशन को ऐक्सेस करने से जुड़ा जोखिम
ऐप्लिकेशन के ऐक्सेस से जुड़ा जोखिम सिग्नल की शुरुआत की गई थी, ताकि यह आकलन किया जा सके कि अन्य ऐसा हो सकता है कि किसी डिवाइस पर मौजूद ऐप्लिकेशन, उस समय स्क्रीन को देख और कैप्चर कर रहे हों जब आपका ऐप्लिकेशन ऐक्सेस करने की अनुमति देनी होगी. पुष्टि हो गई है सुलभता ऐप्लिकेशन को इन नतीजों से अपने-आप बाहर रखा जाता है. ऐप्लिकेशन का ऐक्सेस उपयोगकर्ता की निजता बनाए रखते हुए, डेवलपर को अपने ऐप्लिकेशन की सुरक्षा करने में मदद मिलती है. ऐसा इसलिए, क्योंकि अनुरोध करने वाला ऐप्लिकेशन, इंस्टॉल किए गए ऐप्लिकेशन की पहचान हासिल नहीं करता और नतीजे को उपयोगकर्ता या डिवाइस के आइडेंटिफ़ायर से नहीं जोड़ा जाता है.
मिलकर की गई इस कोशिश की बदौलत, हमें वे सिग्नल मिल पाए जिनकी मदद से, ताकि हम अपने ग्राहकों को ज़्यादा असरदार तरीके से सुरक्षित रख सकें.
अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है —Nubank, ऐप्लिकेशन को रिलीज़ होने से पहले इस्तेमाल करने की सुविधा देने वाला पार्टनर
ऐप्लिकेशन को ऐक्सेस करने से जुड़े जोखिम के जोखिम के लेवल अलग-अलग हैं:
- जवाब कैप्चर करने का मतलब है कि ऐसे अन्य ऐप्लिकेशन चल रहे हैं जो स्क्रीन को कैप्चर कर सकते हैं.
- कंट्रोल रिस्पॉन्स का मतलब है कि ऐसे अन्य ऐप्लिकेशन चल रहे हैं जो इस वजह से, वे स्क्रीन को कैप्चर कर सकते हैं और इनपुट को कंट्रोल कर सकते हैं अपने ऐप्लिकेशन में लॉग इन करें.
ऐप्लिकेशन को ऐक्सेस करने से जुड़े जोखिम की जानकारी, अब सार्वजनिक बीटा वर्शन में उपलब्ध है. इसे सामान्य रूप से उपलब्ध कराया जाएगा जो आने वाले महीनों में उपलब्ध होंगे.
ऐप्लिकेशन के ऐक्सेस से जुड़े जोखिमों को लागू करने के बारे में जानकारी
सुरक्षा के लिए, अपने ऐप्लिकेशन या गेम में अहम या संवेदनशील कार्रवाइयों की पहचान करें सीधे तौर पर ऐक्सेस देने से मना करने के बजाय, Play Integrity API का इस्तेमाल करें. अगर मुमकिन हो, तो चुनौती दें ज़्यादा वैल्यू वाली कार्रवाइयों की अनुमति देने से पहले जोखिम भरा ट्रैफ़िक. उदाहरण के लिए, जब ऐप्लिकेशन को ऐक्सेस करने से जुड़े जोखिम का मतलब है कि ऐसा ऐप्लिकेशन चल रहा है जो तो उपयोगकर्ता से उन ऐप्लिकेशन को बंद करने या अनइंस्टॉल करने के लिए कहें जो स्क्रीन कैप्चर कर सकते हैं उन्हें उन फ़ंक्शन के लिए आगे बढ़ने से पहले जिन्हें आपको सुरक्षित करना है.
इस टेबल में, जांच के नतीजों के कुछ उदाहरण दिए गए हैं:
ऐप्लिकेशन को ऐक्सेस करने से जुड़े जोखिम के नतीजे का उदाहरण | परिभाषा |
---|---|
appsDetected: ["KNOWN_INSTALLED"]
|
इंस्टॉल किए गए सिर्फ़ ऐसे ऐप्लिकेशन हैं जिनकी पहचान Google Play करता है या डिवाइस के मैन्युफ़ैक्चरर के सिस्टम पार्टिशन में पहले से लोड किया गया हो. ऐसा कोई ऐप्लिकेशन नहीं चल रहा है जिसकी वजह से कैप्चर करना, नतीजों को कंट्रोल कर सकती है या उन्हें ओवरले कर सकती है. |
appsDetected: ["KNOWN_INSTALLED", "UNKNOWN_INSTALLED", "UNKNOWN_CAPTURING"]
|
ऐसे ऐप्लिकेशन हैं जिन्हें Google Play ने इंस्टॉल किया है या सिस्टम पार्टिशन. कुछ दूसरे ऐप्लिकेशन चल रहे हैं और उन अनुमतियों को चालू किया गया है जो का इस्तेमाल स्क्रीन को देखने या दूसरे इनपुट और आउटपुट कैप्चर करने के लिए किया जा सके. |
appsDetected: ["KNOWN_INSTALLED", "KNOWN_CAPTURING", "UNKNOWN_INSTALLED", "UNKNOWN_CONTROLLING"]
|
ऐसा Play या सिस्टम चल रहा है जिसकी अनुमतियां चालू हैं का इस्तेमाल स्क्रीन देखने या दूसरे इनपुट और आउटपुट कैप्चर करने के लिए किया जा सकता है. कुछ ऐसे दूसरे ऐप्लिकेशन भी चल रहे हैं जिनकी अनुमतियां चालू हैं का इस्तेमाल, डिवाइस को कंट्रोल करने और इनपुट को सीधे आपका ऐप्लिकेशन. |
appAccessRiskVerdict: {}
|
ऐप्लिकेशन को ऐक्सेस करने से जुड़े जोखिम का आकलन नहीं किया गया, क्योंकि एक ज़रूरी शर्त यह थी छूटे हुए. उदाहरण के लिए, डिवाइस भरोसेमंद नहीं था. |
Play Protect सिग्नल
Play Protect सिग्नल से आपके ऐप्लिकेशन को यह पता चलता है कि Play Protect की सुविधा चालू है या नहीं और डिवाइस में नुकसान पहुंचाने वाले ऐसे ऐप्लिकेशन मिले हैं या नहीं जिनकी जानकारी उसे डिवाइस में इंस्टॉल है.
environmentDetails:{
playProtectVerdict: "NO_ISSUES"
}
अगर मैलवेयर आपके ऐप्लिकेशन या लोगों के लिए चिंता का विषय है, तो डेटा, तो आप इस नतीजे की जाँच करें और अपने उपयोगकर्ताओं से Play Protect की सुविधा चालू करने या नुकसान पहुंचाने वाले ऐप्लिकेशन को हटाने के लिए कहें में जाएं.
playProtectVerdict
की वैल्यू, इनमें से कोई एक हो सकती है:
नतीजा | जवाब चुनने की वजह | सुझाई गई कार्रवाई |
---|---|---|
|
Play Protect की सुविधा चालू है और उसे इस पर ऐप्लिकेशन से जुड़ी कोई समस्या नहीं मिली डिवाइस. |
Play Protect की सुविधा चालू है और इसमें कोई समस्या नहीं मिली है. इसलिए, उपयोगकर्ता कोई कार्रवाई नहीं कर सकता आवश्यक. |
|
Play Protect की सुविधा चालू है, लेकिन अभी तक स्कैन नहीं किया गया है. कॉन्टेंट बनाने हो सकता है कि Play Store ऐप्लिकेशन हाल ही में रीसेट किया गया हो. |
Play Protect की सुविधा चालू है और इसमें कोई समस्या नहीं मिली है. इसलिए, उपयोगकर्ता कोई कार्रवाई नहीं कर सकता आवश्यक. |
|
Play Protect की सुविधा बंद है. |
Play Protect की सुविधा चालू है और इसमें कोई समस्या नहीं मिली है. इसलिए, उपयोगकर्ता कोई कार्रवाई नहीं कर सकता आवश्यक है. |
|
Play Protect की सुविधा चालू है और उसे नुकसान पहुंचा सकने वाले ऐप्लिकेशन मिले हैं डिवाइस पर इंस्टॉल किया गया है. |
जोखिम की सहनशीलता के आधार पर, आप उपयोगकर्ता को लॉन्च करने के लिए कह सकते हैं Play Protect की सुविधा और Play Protect की चेतावनियों पर कार्रवाई करना. अगर उपयोगकर्ता इन ज़रूरतों को पूरा नहीं कर सकता, तो आप उन्हें सर्वर से ब्लॉक कर सकते हैं कार्रवाई. |
|
Play Protect की सुविधा चालू है और उसमें खतरनाक ऐप्लिकेशन इंस्टॉल किए गए हैं डिवाइस पर. |
जोखिम की सहनशीलता के आधार पर, आप उपयोगकर्ता को लॉन्च करने के लिए कह सकते हैं Play Protect की सुविधा और Play Protect की चेतावनियों पर कार्रवाई करना. अगर उपयोगकर्ता इन शर्तों को पूरा नहीं कर सकता, तो आप उन्हें सर्वर ऐक्शन. |
|
Play Protect के नतीजे का आकलन नहीं किया गया. यह काम कर सका ऐसा कई वजहों से होता है. इनमें ये वजहें शामिल हैं:
|
डिवाइस पर हाल ही में की गई गतिविधि
आपके पास डिवाइस पर हाल ही की गतिविधि के लिए ऑप्ट-इन करने का भी विकल्प होता है. इससे आपको यह पता चलता है कि डिवाइस को कितनी बार आपके ऐप्लिकेशन ने पिछले एक घंटे में, किसी डिवाइस पर इंटिग्रिटी टोकन का अनुरोध किया है. आपने लोगों तक पहुंचाया मुफ़्त में आपके ऐप्लिकेशन को अनचाहे लोगों से बचाने के लिए, डिवाइस की हाल की गतिविधि का इस्तेमाल कर सकता है ऐसे डिवाइस जो किसी सक्रिय हमले का संकेत हो सकते हैं. आप यह तय करें कि उपयोगकर्ता की हाल की गतिविधि के हर लेवल पर कितना भरोसा करना है. यह फ़ैसला लेने के लिए कि आपका ऐप्लिकेशन किसी सामान्य डिवाइस पर कितनी बार इंस्टॉल होगा, ताकि इंटिग्रिटी की सुविधा का अनुरोध किया जा सके टोकन हर घंटे अपडेट किया जा सकता है.
अगर आप recentDeviceActivity
पाने के लिए ऑप्ट-इन करते हैं, तो deviceIntegrity
फ़ील्ड
दो वैल्यू होती हैं:
deviceIntegrity: {
deviceRecognitionVerdict: ["MEETS_DEVICE_INTEGRITY"]
recentDeviceActivity: {
// "LEVEL_2" is one of several possible values.
deviceActivityLevel: "LEVEL_2"
}
}
सबसे पहले, आपको डेटा की जांच करके यह देखना चाहिए कि आम तौर पर डिवाइस पर की गई गतिविधि का लेवल क्या है आपके सभी डिवाइस पर मौजूद होते हैं. इसके बाद, यह तय किया जा सकता है कि आपका ऐप्लिकेशन जब कोई डिवाइस बहुत ज़्यादा अनुरोध करे, तो को जवाब देना चाहिए. अगर गतिविधि तो हो सकता है कि आप उपयोगकर्ता को बाद में फिर से कोशिश करने के लिए कहना चाहें. अगर गतिविधि बहुत ज़्यादा है, तो आपको नीति उल्लंघन ठीक करने के तरीके (एनफ़ोर्समेंट) को सख्ती से लागू करना चाहिए.
स्टैंडर्ड अनुरोध बनाम क्लासिक अनुरोध
Play Integrity को लागू करने के दौरान, इन बातों पर ध्यान देना ज़रूरी है दो तरह के अनुरोध हैं. ज़्यादातर मामलों में, आपको स्टैंडर्ड अनुरोधों का इस्तेमाल करना चाहिए, सबसे तेज़ जवाब देने के लिए - और क्लासिक अनुरोधों का इस्तेमाल वहां किया जाना चाहिए डिवाइस को प्रमाणित करने से जुड़े रिकॉर्ड के लिए, जनरेट किया गया नया अनुरोध चाहिए.
सामान्य अनुरोध |
स्टैंडर्ड अनुरोध |
---|---|
अनुरोधों में ज़्यादा समय लगता है. इसलिए, उन्हें बार-बार अनुरोध नहीं करना चाहिए. उदाहरण के लिए, कभी-कभी एक बार की जाने वाली गतिविधि के तौर पर, यह देखना कि क्या किसी संवेदनशील कार्रवाई करने की ज़िम्मेदारी सही है. बहुत कम इस्तेमाल करें. |
अनुरोधों में इंतज़ार का समय कम होता है और इनका इस्तेमाल मांग पर किया जा सकता है. स्टैंडर्ड अनुरोध के दो हिस्से होते हैं:
मांग पर इस्तेमाल करें. |
स्टैंडर्ड और सेटअप के बारे में ज़्यादा जानकारी के लिए, Play Integrity से जुड़े दस्तावेज़ पढ़ें क्लासिक अनुरोध.
लागू करना
Play Integrity API का इस्तेमाल शुरू करने के लिए:
- अपने Google Play Console और लिंक में, Play Integrity API के रिस्पॉन्स मिलने की सुविधा चालू करें Google Cloud प्रोजेक्ट से लिंक कर दिया जाएगा.
- अपने ऐप्लिकेशन में Play Integrity API को इंटिग्रेट करें.
- यह तय करें कि आपको नतीजों को कैसे मैनेज करना है.
Play Integrity API, डिफ़ॉल्ट रूप से हर ऐप्लिकेशन के लिए हर दिन 10 हज़ार अनुरोध तक की अनुमति देता है. यहां की यात्रा पर हूं अगर आपको हर दिन किए जाने वाले अनुरोधों की संख्या बढ़ाने में दिलचस्पी है, तो इनका पालन करें निर्देश दिए गए हैं. अपनी रोज़ की ज़्यादा से ज़्यादा संख्या में बढ़ोतरी की मंज़ूरी के लिए आपके ऐप्लिकेशन को Play Integrity API को सही तरीके से लागू करना होगा. किसी अन्य डिस्ट्रिब्यूशन चैनल के साथ-साथ, Google Play पर भी उपलब्ध कराया जाता है.
Play Integrity API का इस्तेमाल करते समय ध्यान रखने वाली बातें
- यह ज़रूरी है कि आप Play Integrity API से मिले रिस्पॉन्स में, गड़बड़ियों को ठीक करें. सही तरीके से काम करना चाहिए. फिर से कोशिश करने और नीति उल्लंघन ठीक करने के तरीके (एनफ़ोर्समेंट) से जुड़ी रणनीतियों के बारे में यहां दी गई गाइड पढ़ें जो कि गड़बड़ी कोड के हिसाब से होते हैं.
- Play Integrity API, जवाबों के लिए टेस्टिंग टूल उपलब्ध कराता है.
- अपने डिवाइस पर इंटिग्रिटी का नतीजा देखने के लिए, यह तरीका अपनाएं.
- सुरक्षा से जुड़ी इन बातों को पढ़ें और जानें कि Play Integrity API.
अपने-आप पूरी सुरक्षा देने की सुविधा (एपीआई >= 23)
अपने-आप पूरी सुरक्षा देने की सुविधा, 'छेड़छाड़ के कोड' से सुरक्षा देने वाली ऐसी सेवा है जो यह आपके ऐप्लिकेशन को, बिना अनुमति के किए जाने वाले गलत इस्तेमाल से बचाता है बदलाव और रीडिस्ट्रिब्यूशन. यह डेटा कनेक्शन के बिना काम करता है और इसके लिए ज़रूरी है परीक्षण से पहले कोई डेवलपर काम नहीं करता है और कोई बैकएंड सर्वर एकीकरण नहीं है.
इससे धोखाधड़ी को कम करने में कैसे मदद मिलती है
अपने-आप पूरी सुरक्षा देने की सुविधा चालू करने पर, Google Play आपकी सुरक्षा के लिए जो उन्हें ऐप्लिकेशन के कोड में बदल देता है और उन्हें दूर करने में मुश्किल बना देता है. एंटी-रिवर्स इंजीनियरिंग तकनीकें. रनटाइम के दौरान, इंटिग्रिटी प्रोटेक्शन की सुविधा यह जांच करती है कि क्या ऐप्लिकेशन के साथ छेड़छाड़ की गई है या उसे फिर से उपलब्ध कराया गया है:
- अगर इंस्टॉलर की जांच में यह पाया जाता है कि ऐप्लिकेशन को डाउनलोड नहीं किया गया है, तो उपयोगकर्ताओं को यह सूचना दी जाएगी कि वे Google Play से आपके ऐप्लिकेशन को इंस्टॉल करें
- अगर इंस्टॉलर की जांच में यह पाया जाता है कि आपकी अनुमति के बिना बदलाव किया गया है, तो ऐप्लिकेशन काम नहीं करेगा
इससे, उपयोगकर्ताओं को आपके ऐप्लिकेशन के बदले गए वर्शन से सुरक्षित रहने में मदद मिलती है.
लागू करना
ऑटोमैटिक इंटिग्रिटी प्रोटेक्शन की सुविधा, Play के सिर्फ़ चुनिंदा पार्टनर के लिए उपलब्ध है समय. अगर इनमें सुविधा उपलब्ध नहीं है, तो Google Play के डेवलपर सहायता केंद्र से संपर्क करें Play Console पर जाएं और आप अपने Google Play Console खाते ऐक्सेस दें.
रिलीज़ बनाते समय या फिर ऐप्लिकेशन पर, इंटिग्रिटी प्रोटेक्शन की सुविधा चालू की जा सकती है इंटिग्रिटी पेज (रिलीज़ > ऐप्लिकेशन के लिए पूरी सुरक्षा देने की सुविधा) पर क्लिक करें. अपने-आप पूरी सुरक्षा देने की सुविधा इंटिग्रिटी प्रोटेक्शन की सुविधा के लिए, आपके ऐप्लिकेशन को Play ऐप्लिकेशन साइनिंग की सुविधा का इस्तेमाल करना ज़रूरी है.
अपने ऐप्लिकेशन की रिलीज़ का प्रमोशन करने से पहले, अपने सुरक्षित ऐप्लिकेशन की जांच ज़रूर कर लें प्रोडक्शन होता है.
ध्यान रखने वाली बातें
- ऐप्लिकेशन के असुरक्षित वर्शन रिलीज़ न करना
- 'छेड़छाड़ से सुरक्षा' में होने वाली रुकावटें ठीक करने के तरीके जोड़ते समय सावधानी बरतें
- प्रोडक्शन के लिए रिलीज़ करने से पहले, अपने सुरक्षित ऐप्लिकेशन की जांच करें
- क्रैश की संख्या में हुई बढ़ोतरी के लिए, आंकड़ों को सामान्य तौर पर मॉनिटर करें
- Google Play से, अपने ऐप्लिकेशन के क्रैक्ड वर्शन की शिकायत की जा सकती है