Google ha annunciato alcuni miglioramenti all’API Play Integrity mirati a renderla più veloce e rispettosa della privacy. Questi aggiornamenti, introdotti il 3 dicembre 2024, dovrebbero rendere le applicazioni Android più sicure e offrire agli sviluppatori nuovi strumenti per contrastare attività fraudolente e abusi. Saranno però coinvolte soltanto le versioni più recenti del Robottino Verde.
Android migliora l’API Play Integrity
Ora l’API Play Integrity utilizza una nuova tecnologia su tutti i dispositivi con Android 13 (API livello 33) e versioni successive. Gli sviluppatori che curano progetti già integrati con l’API possono optare per l’uso immediato delle nuove risposte, mentre la transizione automatica per tutte le integrazioni avverrà a maggio 2025.
Le nuove risposte sfruttano maggiormente i segnali di sicurezza supportati dall’hardware tramite l’Attestazione della Chiave della Piattaforma Android. Per gli attaccanti ciò rende più difficile e costoso eludere i controlli. Inoltre l’API sarà in grado di adattare le risposte in presenza di minacce alla sicurezza, come per esempio attività sospette o la compromissione di chiavi, senza richiedere interventi da parte degli sviluppatori.
Questi miglioramenti ridurranno del 90% i segnali da raccogliere e valutare sui server di Google, con una diminuzione della latenza nelle risposte fino all’80%.
I limiti per i dispositivi più datati
L’API Play Integrity offre anche risposte opzionali come meets-strong-integrity
e meets-basic-integrity
nel verdetto di riconoscimento del dispositivo. Gli sviluppatori potranno quindi determinare l’affidabilità dell’ambiente in cui l’applicazione è in esecuzione. Qui però nascono i problemi per chi dispone di versioni datate di Android o comunque precedenti alla 13.
La risposta meets-strong-integrity
richiederà ad esempio che il dispositivo abbia ricevuto un aggiornamento di sicurezza negli ultimi 12 mesi su Android 13 e versioni successive. App con esigenze di sicurezza elevate come quelle bancarie, governative o aziendali potrebbero quindi essere pesantemente limitate nelle loro funzionalità se l’ambiente in cui operano non dovesse essere stato aggiornato.