Złośliwe i niechciane oprogramowanie

Google sprawdza, czy w witrynach znajduje się oprogramowanie lub wykonywalne pliki do pobrania, które mogłyby powodować, że strona działa inaczej, niż tego oczekują użytkownicy. Złośliwe lub niechciane oprogramowanie to możliwe do pobrania pliki binarne lub aplikacje, które mogą uruchamiać się na stronie i wpływać na jej działanie w sposób niekorzystny dla użytkowników. Listę podejrzanych plików hostowanych w Twojej witrynie znajdziesz w raporcie Problemy dotyczące bezpieczeństwa.

Co to jest złośliwe oprogramowanie?

„Złośliwe oprogramowanie” to aplikacje mobilne lub programy zaprojektowane specjalnie po to, aby wyrządzały szkody użytkownikom lub uszkadzały komputery, urządzenia mobilne bądź zainstalowane na nich aplikacje. Działanie złośliwego oprogramowania objawia się m.in. instalowaniem programów bez zgody użytkownika lub instalowaniem szkodliwych aplikacji takich jak wirusy. Właściciele witryn czasem nie zdają sobie sprawy, że ich pliki do pobrania zawierają szkodliwe oprogramowanie, i nieświadomie je hostują.

  • Więcej informacji o tym, jak Google chroni użytkowników przed pobieraniem złośliwego oprogramowania, znajdziesz w tym poście na blogu Google o bezpieczeństwie online.
  • Kryteria bezpiecznego oprogramowania w internecie znajdziesz w naszych Zasadach dotyczących niechcianego oprogramowania.

Co to jest niechciane oprogramowanie?

Niechciane oprogramowanie to pliki wykonywalne lub aplikacje mobilne, które działają w sposób zwodniczy lub niezgodny z oczekiwaniami albo negatywnie wpływają na wygodę korzystania z komputera lub przeglądanie internetu. Są to np. programy przełączające stronę główną lub zmieniające ustawienia przeglądarki na takie, których użytkownik sobie nie życzy. Mogą to być też aplikacje wykradające informacje prywatne i niejawne dane osobowe.

Więcej informacji o tym, jak Google chroni użytkowników przed niechcianym oprogramowaniem, znajdziesz w tym poście na blogu Google o bezpieczeństwie online.

Wytyczne

Upewnij się, że nie naruszasz Zasad dotyczących niechcianego oprogramowania, i postępuj zgodnie z podanymi tutaj wskazówkami. Lista nie jest wyczerpująca, jednak wymienione na niej nadużycia mogą powodować, że użytkownicy, którzy spróbują pobrać aplikację lub wejść na stronę, zobaczą odpowiednie ostrzeżenie. Listę podejrzanych plików hostowanych w Twojej witrynie znajdziesz w raporcie Problemy dotyczące bezpieczeństwa.

Nie podawaj fałszywych informacji o swoim oprogramowaniu

  • Dokładnie informuj użytkowników o przeznaczeniu i sposobie działania oprogramowania. Użytkownicy muszą pobierać oprogramowanie świadomie (mając dokładną wiedzę, co pobierają) przez kliknięcie rzetelnej reklamy, która wyraźnie informuje, jaki program zostanie pobrany. Reklamy umożliwiające pobieranie nie mogą wprowadzać w błąd ani podawać niedokładnych informacji. Niedozwolone są na przykład reklamy, które:
    • zawierają tylko słowa „Pobierz” lub „Odtwórz” bez informacji, jakie oprogramowanie reklamują;
    • zawierają przycisk „Odtwórz”, który powoduje pobieranie;
    • naśladują wygląd i styl strony wydawcy i udają, że oferują treści (takie jak film), a zamiast tego prowadzą na stronę oprogramowania o innym przeznaczeniu.
    • Przeczytaj o inżynierii społecznej na naszym blogu o bezpieczeństwie online.
  • Program musi być zgodny ze swoim opisem z reklamy. Przekaż jasne informacje o funkcjach i przeznaczeniu programu. Jeśli zbiera on dane o użytkownikach lub wstawia reklamy do przeglądarki, w zrozumiały sposób opisz te działania i nie przedstawiaj ich jako funkcji bez większego znaczenia.
  • Wyczerpująco i dokładnie wyjaśnij użytkownikowi, jakie zmiany Twoje oprogramowanie wprowadzi w jego przeglądarce i systemie. Daj użytkownikom możliwość sprawdzenia i zatwierdzenia wszystkich ważnych opcji i zmian instalacyjnych. Główny interfejs programu musi wyraźnie ujawniać komponenty pliku binarnego i nie pozostawiać wątpliwości co do ich głównych funkcji. Plik binarny musi umożliwiać użytkownikowi łatwe pomijanie instalowanych komponentów. Na przykład niepożądane jest ukrywanie opcji lub używanie prawie niewidocznego tekstu.
  • Powołuj się na rekomendacje tylko wtedy, gdy masz upoważnienie. Nie używaj logo innych firm w nieuprawniony sposób, aby powołać się na ich rekomendację lub uwiarygodnić swój produkt. Bez upoważnienia nie używaj logo instytucji państwowych.
  • Nie strasz użytkownika. Oprogramowanie nie może niezgodnie z prawdą informować użytkownika o stanie jego komputera – na przykład twierdzić, że system ma krytycznie niski poziom zabezpieczeń lub jest zainfekowany przez wirusy. Oprogramowanie nie może oferować usługi (takiej jak np. „przyspiesz swój komputer”), której w rzeczywistości nie udostępnia. Na przykład programy do czyszczenia i optymalizacji komputera można reklamować jako bezpłatne tylko wtedy, gdy reklamowane usługi i komponenty nie wymagają płatności.

Wytyczne dotyczące oprogramowania

  • Jeśli Twój program zmienia ustawienia Chrome, użyj interfejsu Google Settings API. Wszystkie zmiany domyślnych ustawień wyszukiwania, strony początkowej lub strony nowej karty w przeglądarce użytkownika należy wprowadzać za pomocą interfejsu Chrome Settings Override API, który wymaga zastosowania rozszerzenia do Chrome oraz zgodnej procedury instalacji tego rozszerzenia.
  • Pozwól przeglądarce i systemowi operacyjnemu wyświetlać okna dialogowe z odpowiednimi alertami dla użytkownika. Nie blokuj alertów pokazywanych przez przeglądarkę lub system operacyjny zwłaszcza wtedy, gdy informują one użytkownika o zmianach wprowadzonych w przeglądarce lub systemie.
  • Zalecamy podpisanie kodu. Brak podpisu w pliku binarnym to nie powód, aby oznaczyć go jako niechciane oprogramowanie, ale zalecamy podpisanie kodu programu ważnym i zweryfikowanym kluczem wydanym przez odpowiednią jednostkę certyfikacji, która udostępnia potwierdzone informacje o wydawcy.
  • Nie zmniejszaj zabezpieczeń ani środków ochrony zapewnianych przez połączenia TLS/SSL. Aplikacja nie może instalować głównego certyfikatu urzędu certyfikacji. Nie może też przechwytywać połączeń SSL/TLS, chyba że jest przeznaczona dla specjalistów, którzy debugują lub badają oprogramowanie. Szczegółowe informacje znajdziesz w poście na blogu Google o bezpieczeństwie.
  • Chroń dane użytkowników. Oprogramowanie, w tym aplikacje mobilne, może przesyłać prywatne dane użytkownika na serwery wyłącznie w zakresie, w jakim wiąże się to z funkcjami aplikacji. Należy o tym poinformować użytkownika i zadbać o szyfrowanie przesyłanych danych.
  • Nikomu nie wyrządzaj szkody. Plik binarny musi działać zgodnie z wolą użytkownika i nie może powodować żadnych szkód. Upewnij się, że pliki binarne do pobrania są zgodne z tymi powszechnymi zasadami:
    • Nie blokuj działania funkcji resetowania w przeglądarce. Przeczytaj o przycisku Zresetuj ustawienia przeglądarki w Chrome.
    • Przy wprowadzaniu zmian ustawień nie omijaj kontroli w interfejsie przeglądarki ani w systemie operacyjnym. Program musi odpowiednio informować użytkownika i dawać mu kontrolę nad zmianami ustawień przeglądarki. Aby zmienić ustawienia Chrome, użyj interfejsu Settings API (przeczytaj tego posta na blogu Chromium).
    • Do zmiany działania Google Chrome używaj rozszerzeń, zamiast stosować inne metody programistyczne. Program nie może na przykład korzystać z bibliotek DLL (bibliotek łączonych dynamicznie) w celu umieszczania reklam w przeglądarce, używać serwerów proxy przechwytujących ruch internetowy, korzystać z dostawcy LSP (Layered Service Provider) w celu przechwytywania działań użytkownika ani umieszczać nowych elementów interfejsu na każdej stronie internetowej przez wprowadzanie poprawek w pliku binarnym Chrome.
    • Opisy usługi i jej komponentów nie mogą niepokoić użytkownika ani zawierać informacji nieprawdziwych bądź wprowadzających w błąd. Usługa nie może zawierać fałszywych informacji o stanie komputera, czyli na przykład ostrzegać, że system ma krytycznie niski poziom zabezpieczeń lub jest zainfekowany przez wirusy. Narzędzia takie jak programy do czyszczenia rejestru nie mogą pokazywać niepokojących komunikatów o stanie komputera czy urządzenia użytkownika ani sugerować, że potrafią zoptymalizować jego pracę.
    • Opracuj szybki, łatwy i bezpieczny proces odinstalowywania programu. Twój program musi zawierać łatwo dostępne i zrozumiałe instrukcje, jak przywrócić przeglądarkę lub system do poprzednich ustawień. Dezinstalator musi usuwać wszystkie komponenty bez zniechęcania użytkownika do kontynuacji procesu odinstalowywania. Nie może na przykład sugerować, że odinstalowanie będzie szkodliwe dla systemu lub że naruszy prywatność użytkownika.
  • Zadbaj o zgodność. Jeśli Twoje oprogramowanie obejmuje inne komponenty, żaden z nich nie może naruszać powyższych zaleceń.

Wytyczne dotyczące rozszerzeń do Chrome

  • Wszystkie rozszerzenia należy ujawniać i instalować w Chrome zgodnie z zasadami. Rozszerzenia muszą być udostępniane w Chrome Web Store, domyślnie wyłączone oraz zgodne z zasadami Chrome Web Store (w tym z zasadą jednego celu). Rozszerzenia instalowane z programu muszą korzystać z autoryzowanej procedury instalacji rozszerzeń do Chrome, która wyświetla użytkownikowi komunikat umożliwiający włączenie rozszerzenia w Chrome. Rozszerzenia nie mogą blokować okien dialogowych Chrome, które ostrzegają użytkownika o zmianie ustawień.
    Wyskakujące okienko w Chrome z prośbą o zatwierdzenie instalacji rozszerzenia.
  • Wyjaśnij użytkownikom, jak usunąć rozszerzenie do Chrome. Aby można było wygodnie korzystać z programu, procedura odinstalowania go musi usuwać wszystkie elementy, które zostały zainstalowane razem z nim. Musi też zawierać instrukcje, jak użytkownik może samodzielnie wyłączyć i usunąć rozszerzenie.
  • Jeśli Twój plik binarny instaluje dodatek do przeglądarki lub zmienia jej domyślne ustawienia, musi się to odbywać zgodnie z przebiegiem procesu instalacyjnego przeglądarki i interfejsem API. Gdy Twój plik instaluje np. rozszerzenie do Chrome, dostosuj go do zasad programu dla deweloperów Chrome i umieść w Chrome Web Store. Plik binarny zostanie zidentyfikowany jako szkodliwe oprogramowanie, jeśli powoduje instalowanie rozszerzenia do Chrome z naruszeniem polityki alternatywnych źródeł rozszerzeń przeglądarki Chrome.

Wytyczne dotyczące aplikacji mobilnych

  • Poinformuj użytkowników o zamiarze gromadzenia ich danych. Zanim zaczniesz zbierać informacje i przesyłać je z urządzenia, musisz dać użytkownikom możliwość wyrażenia zgody na zbieranie ich danych, w tym takich, które dotyczą kont w innych usługach, adresu e-mail, numeru telefonu, zainstalowanych aplikacji oraz plików zapisanych na urządzeniu mobilnym. Wszystkie osobiste i poufne dane użytkowników, które zbierasz, również te przesyłane za pomocą nowoczesnych metod szyfrowania (np. protokołu HTTPS), muszą być przechowywane i przetwarzane w bezpieczny sposób. W przypadku aplikacji niepochodzących ze sklepu Play musisz informować użytkowników o zamiarze gromadzenia danych w aplikacji. Jeśli chodzi o aplikacje ze sklepu Google Play, musisz informować użytkowników zgodnie z jego zasadami. Nie zbieraj danych, które wykraczają poza zakres zastosowań aplikacji.

  • Nie podszywaj się pod inne marki ani aplikacje. Nie wolno wykorzystywać niewłaściwych lub nieautoryzowanych zdjęć ani elementów wizualnych przypominających inną markę bądź aplikację w sposób, który może zmylić użytkownika.
  • Treści nie mogą wykraczać poza kontekst aplikacji. Aplikacje nie mogą wpływać na działanie urządzenia ani innych aplikacji. Nie mogą też wyświetlać użytkownikom reklam ani dodatkowych treści wykraczających poza kontekst lub funkcję aplikacji bez uzyskania świadomej zgody użytkownika. Oprócz tego wszystkie reklamy pojawiające się w aplikacjach muszą zawierać informację o źródle, z którego pochodzą.
  • Aplikacja musi działać w sposób zgodny z deklarowanym. Wszystkie reklamowane funkcje muszą być dostępne dla użytkowników w aplikacji. Aplikacje mogą aktualizować swoją zawartość, ale nie mogą pobierać dodatkowych aplikacji bez uzyskania świadomej zgody użytkownika.
  • Działanie aplikacji powinno być przejrzyste. Aplikacje nie mogą odinstalowywać ani zastępować innych aplikacji ani ich skrótów, chyba że aplikacja została stworzona specjalnie w tym celu. Proces odinstalowywania musi być jasny i usuwać całą aplikację. Aplikacje nie mogą naśladować komunikatów systemu operacyjnego urządzenia ani innych aplikacji.

Aplikacje rozpowszechniane w Google Play muszą być zgodne z zasadami programu dla deweloperówUmową dystrybucyjną dla deweloperów, które zawierają dodatkowe wytyczne.

Jak naprawić problem

Upewnij się, że Twoja witryna lub aplikacja jest zgodna z wytycznymi, a następnie poproś o weryfikację z poziomu raportu Problemy dotyczące bezpieczeństwa.

Jeśli Twoja aplikacja mobilna wyświetla ostrzeżenia, przeczytaj informacje o weryfikacji aplikacji i składaniu odwołań.