Malware e software indesejado

O Google verifica sites para descobrir se eles hospedam softwares ou arquivos executáveis para download que prejudicam a experiência do usuário. Os malwares e softwares indesejados podem ser binários ou apps para download que são executados em um site e afetam os visitantes. No relatório Problemas de segurança, é possível ver uma lista de todos os arquivos suspeitos hospedados no seu site.

O que é malware?

Malware é qualquer software ou app para dispositivos móveis projetado especificamente para causar danos a um computador, dispositivo móvel, bem como a usuários ou outro software. Além disso, o malware apresenta um comportamento malicioso que pode incluir a instalação de software sem o consentimento do usuário e a instalação de software nocivo, como vírus. Às vezes, os proprietários de sites não percebem que os arquivos disponibilizados para download são considerados malware, por isso esses binários talvez sejam hospedados inadvertidamente.

O que é software indesejado?

Software indesejado é um app para dispositivos móveis ou arquivo executável que tem comportamento enganoso, inesperado ou que afeta negativamente a experiência de navegação ou computação do usuário. Por exemplo, software que muda a página inicial ou altera outras configurações do navegador de modo indesejado ou apps que vazam informações pessoais e privadas sem a devida divulgação.

Para saber mais detalhes sobre como ajudamos a proteger os usuários contra softwares indesejados, consulte a postagem Esse não é o download que você está procurando... (em inglês) no blog de segurança on-line do Google.

Correção do problema

Confirme que o site ou app segue as diretrizes, e solicite uma revisão no relatório Problemas de segurança.

Caso seu app para dispositivos móveis exiba avisos, envie uma contestação.

Diretrizes

Mantenha a conformidade com a Política de software indesejado e siga as diretrizes listadas nela. Apesar de não ser uma lista completa, esses comportamentos podem fazer com que apps e sites exibam avisos quando os usuários iniciam um download ou acesso. No relatório Problemas de segurança, é possível ver uma lista de todos os arquivos suspeitos hospedados no seu site.

Apresentação clara e precisa

  • Informe os usuários de maneira precisa sobre o propósito e a intenção de um software. Os usuários devem estar cientes ao fazerem o download do software, sabendo exatamente o que será transferido ao clicarem em um anúncio preciso que informe isso de maneira clara. Anúncios que levam o usuário a fazer um download não podem ser enganosos ou imprecisos, como estes exemplos:
    • Um anúncio que contenha somente os termos "Faça o download" ou "Jogue" sem identificar a que software ele se refere
    • Um botão "Reproduzir" que leve o usuário a fazer um download
    • Um anúncio que imita a aparência e o estilo do site do editor e finge oferecer conteúdo (um filme, por exemplo), mas acaba levando o usuário a um software não relacionado
    • Leia sobre engenharia social no nosso blog de segurança on-line (em inglês).
  • Proceda conforme o anunciado. As funções e intenções do seu programa precisam ser evidentes. Se o programa coletar dados do usuário ou inserir anúncios no navegador dele, deixe isso bem claro e não retrate essas funções como características insignificantes.
  • Explique para o usuário de maneira clara e explícita as mudanças que seu software fará no navegador e no sistema. Permita que os usuários analisem e aprovem todas as opções e mudanças significativas da instalação. A interface principal do usuário do programa precisa divulgar com clareza os componentes do binário e a funcionalidade principal deles. O binário tem que oferecer ao usuário uma maneira fácil de pular a instalação de componentes agrupados. Por exemplo, ocultar essas opções ou usar texto pouco visível não é suficiente para a divulgação.
  • Use recomendações somente quando autorizado. Não use logotipos de outras empresas sem autorização para legitimar ou recomendar um produto. O mesmo vale para logotipos de governos.
  • Não dê um susto no usuário. O software não pode representar incorretamente o estado da máquina do usuário (por exemplo, alegando que o sistema está em um estado crítico de segurança ou infectado com vírus). O software não pode alegar que inclui um serviço que não oferece ou não é capaz de prestar (por exemplo, "deixe seu computador mais rápido"). Os softwares que servem para limpar e otimizar o computador, por exemplo, não podem ser anunciados como "sem custo financeiro", exceto se os serviços e componentes anunciados não exigirem pagamento.

Diretrizes para software

  • Use a API Google Settings caso seu programa mude as configurações do Google Chrome. Qualquer alteração nas configurações de pesquisa padrão do usuário, na página de inicialização ou na página "Nova guia" precisa ser feita com a API Chrome Settings Override. Isso exige o uso de uma extensão do Chrome, assim como um fluxo de instalação da extensão compatível.
  • Permita que caixas de diálogo do navegador e do sistema operacional alertem o usuário conforme pretendido. Não impeça a exibição de alertas do navegador ou do sistema operacional para o usuário, principalmente aqueles que informam sobre mudanças no navegador ou no SO.
  • Recomendamos que você assine seu código. Um código binário sem assinatura não chega a ser um motivo para uma sinalização de software indesejado. No entanto, recomendamos que os programas tenham uma assinatura válida e verificada, emitida por uma autoridade de assinatura de códigos que apresente informações de publicação que possam ser verificadas.
  • Não comprometa as medidas de segurança e proteção fornecidas por conexões TLS/SSL. Um app não pode instalar um certificado de autoridade de certificação raiz. Ele também não pode interceptar conexões SSL/TLS, a menos que seja projetado para especialistas com o propósito de investigar ou depurar software. Para ver mais detalhes, confira esta postagem do blog de segurança do Google (em inglês).
  • Proteja os dados do usuário. Os softwares, incluindo os apps para dispositivos móveis, só podem transmitir aos servidores os dados privados do usuário relacionados à função do app. Além disso, essas transmissões precisam ser criptografadas e divulgadas para o usuário.
  • Não prejudique ninguém. O binário precisa respeitar a experiência de navegação do usuário, não a prejudicar. Confira se os binários para download aderem às seguintes políticas comuns:
    • Não desabilite o recurso de redefinição do navegador. Leia sobre o botão de redefinir configurações do navegador no Chrome.
    • Não ignore nem suprima mudanças de configuração no controle de IU do sistema operacional ou navegador. Seu programa precisa notificar os usuários e permitir que eles controlem as mudanças nas configurações do navegador de forma adequada. Use a API Settings para mudar as configurações do Chrome. Veja esta postagem no blog Chromium (em inglês).
    • Use uma extensão para alterar a funcionalidade do Google Chrome em vez de mudar o comportamento do navegador por outras formas de programação. Por exemplo, seu programa não pode usar bibliotecas de link dinâmico (DLL, na sigla em inglês) para injetar anúncios no navegador nem implantar proxies que interceptem o tráfego. O programa também não pode usar um provedor de serviços em camadas (LSP, na sigla em inglês) para interceptar as ações dos usuários, assim como não pode usar patches no binário do Chrome para inserir novas IUs em todas as páginas da Web.
    • Suas descrições de produtos e componentes não podem assustar o usuário e/ou fazer declarações falsas ou enganosas. Por exemplo, não é permitido fazer declarações falsas sobre o sistema estar em estado crítico de segurança ou infectado por vírus. Os programas como limpadores de registro não podem exibir mensagens alarmantes sobre o estado do computador ou dispositivo do usuário e afirmar que podem otimizar o computador.
    • Faça um processo de desinstalação simples, fácil de encontrar e livre de ameaças. O programa precisa ter instruções claras para retornar o navegador e/ou o sistema às configurações anteriores. O desinstalador precisa remover todos os componentes e não pode impedir o usuário de continuar o processo de desinstalação, alegando, por exemplo, possíveis efeitos negativos para o sistema ou a privacidade do usuário caso o software seja desinstalado.
  • Ande em boa companhia. Caso seu software agrupe outros componentes, você será responsável por garantir que nenhum deles viole as recomendações.

Diretrizes para extensões do Chrome

Diretrizes de apps para dispositivos móveis

  • Informe aos usuários que você tem a intenção de coletar os dados deles. Dê aos usuários uma oportunidade de concordar com a coleta de dados. Inclua informações sobre apps instalados, arquivos no dispositivo móvel, e-mail, número de telefone e contas de terceiros. Os dados pessoais ou sensíveis coletados dos usuários precisam ser tratados de maneira segura e transmitidos com criptografia moderna (por exemplo, por HTTPS). Para apps que não são do Google Play, é necessário informar sobre coleta de dados ao usuário no próprio app. Para apps do Google Play, essa divulgação precisa estar de acordo com a política da plataforma. Não colete dados que não façam parte do uso publicado do seu app.

  • Não imite a identidade de outro app ou outra marca. Não use imagens impróprias ou não autorizadas nem design semelhante ao de outro app ou marca de maneiras que possam confundir o usuário.
  • Mantenha todo o conteúdo no contexto do app. Os apps não podem interferir em outros nem na usabilidade do dispositivo. Os apps não podem exibir anúncios nem conteúdo adicional que não façam parte do contexto nem da função deles sem o consentimento do usuário, o que inclui uma atribuição clara da origem desse material onde quer que ele apareça.
  • O app precisa cumprir as promessas feitas aos usuários. É necessário que toda a funcionalidade anunciada seja disponibilizada ao usuário no app. Os apps podem atualizar o conteúdo, mas não podem fazer o download de apps adicionais sem o consentimento do usuário.
  • Dê transparência ao comportamento. Os apps não podem desinstalar nem substituir outros apps ou atalhos, a não ser que essa seja a funcionalidade declarada deles. A desinstalação precisa ser clara e completa. Os apps não podem imitar instruções do SO do dispositivo nem de outros apps.

Os apps distribuídos pelo Google Play precisam obedecer às Políticas do programa para desenvolvedores e ao Contrato de distribuição do desenvolvedor, que estabelecem requisitos adicionais.