Google Play Integrity Fix auf Custom ROMs — SafetyNet ist tot, lang lebe Play Integrity

Seit Google SafetyNet 2024 endgültig abgeschaltet hat, ist die Play Integrity API der neue Türsteher für Apps, die Google-Dienste nutzen. Banking-Apps, manche Spiele, sogar der Play Store selbst checken jetzt Play Integrity. Auf Custom ROMs mit Root schlägt der Check standardmäßig fehl — und manche Apps verweigern den Dienst. Hier ist, wie du deine Farm-Geräte durch den Check bringst.

SafetyNet vs Play Integrity — Was ist anders?

SafetyNet hat drei Check-Stufen: basicIntegrity, ctsProfileMatch, und die optionale Hardware-Bestätigung. Play Integrity hat ebenfalls Stufen, aber strenger:

• DEVICE_INTEGRITY: Gerät ist kein Emulator, kein Root, kein modifiziertes System. ≈ ctsProfileMatch, aber härter.
• BASIC_INTEGRITY: Gerät ist nicht offensichtlich manipuliert. Die meisten Custom ROMs schaffen das.
• STRONG_INTEGRITY: Hardware-backed Key Attestation — nur auf komplett stock Geräten mit locked Bootloader. Für Custom ROMs praktisch unmöglich.

Für die meisten Phone-Farm-Anwendungen reicht BASIC_INTEGRITY. Nur wenn du Banking-Apps oder Google Wallet nutzt, brauchst du DEVICE_INTEGRITY.

Play Integrity Fix (PIF) — das Magisk-Modul

Das Play Integrity Fix-Modul von chiteroman ist der aktuelle Standard. Es funktioniert so: Es fängt die Key-Attestation-Requests der Play Integrity API ab und ersetzt sie mit einem gültigen Fingerprint eines zertifizierten Geräts.

Installation:

# 1. Magisk installieren (falls nicht vorhanden)
# 2. Play Integrity Fix Modul flashen:
adb push playintegrityfix.zip /sdcard/
adb shell su -c "magisk --install-module /sdcard/playintegrityfix.zip"

# 3. Neustart
adb reboot

# 4. Nach Neustart: Play Integrity Check
adb shell su -c "logcat | grep PIF"
# Sollte zeigen: "PIF: Spoofing integrity verdict"

Play Integrity checken:

# Play Integrity Checker App installieren (aus Play Store oder als APK)
# Oder per ADB testen:
adb shell am start -n com.henrikherzig.playintegritychecker/.MainActivity
# Dann Screenshot oder per dumpsys checken

Alternativen zu PIF: Tricky Store + Zygisk-Next

Seit Google immer bessere Detektionsmechanismen hat, reicht PIF allein manchmal nicht. Die aktuelle Empfehlung ist der Tricky Store:

# Tricky Store Installation (braucht Zygisk-Next):
# 1. Zygisk-Next flashen (ersetzt Magisk's eingebautes Zygisk)
# 2. Tricky Store flashen
# 3. Shamiko für Root-Versteckung
# 4. Neustart

Der Tricky Store nutzt einen anderen Ansatz als PIF — statt Fingerprints zu fälschen, modifiziert er die Key-Attestation auf Kernel-Ebene. Deutlich schwerer zu detektieren, aber auch komplexer im Setup.

Custom-ROM-spezifische Tips

LineageOS:

# SELinux muss enforcing sein:
adb shell getenforce
# Wenn "Permissive": in den Einstellungen auf Enforcing stellen

# Build-Fingerprint sollte von einem zertifizierten Gerät sein:
adb shell getprop ro.build.fingerprint
# z.B. "samsung/dreamltexx/dreamlte:9/PPR1.180610.011/..."

Pixel Experience / crDroid:

Diese ROMs kommen oft mit einem generischen Fingerprint. Du musst ihn per MagiskHide Props Config auf einen echten Geräte-Fingerprint ändern.

Was NICHT geht: STRONG_INTEGRITY auf Custom ROMs

Meine aktuelle Konfiguration (Juni 2026)

Auf allen 75 Geräten läuft:

• LineageOS 20 (Android 13)
• Magisk 28.1
• Zygisk-Next 1.2.3
• Tricky Store 1.1.0
• Shamiko 1.2

Alle Geräte erreichen BASIC_INTEGRITY, ca. 60% erreichen DEVICE_INTEGRITY (abhängig vom spezifischen Fingerprint). STRONG_INTEGRITY auf 0 Geräten — brauche ich aber auch nicht.

Fazit: Play Integrity Fix ist lästig aber machbar. Mit Tricky Store + Zygisk-Next läuft's stabil. Die größte Herausforderung ist, dass Google die Fingerprints regelmäßig banned — dann brauchst du einen neuen. Ich checke alle 2 Wochen per Cronjob, ob die Fingerprints noch gültig sind.