Malware e software indesejado

O Google verifica sites para descobrir se eles hospedam softwares ou arquivos executáveis para download que prejudicam a experiência do usuário. No relatório de Problemas de segurança, é possível ver uma lista de todos os arquivos suspeitos hospedados no seu site.

Visão geral

Os malwares e softwares indesejados podem ser binários ou aplicativos para download que são executados em um site e afetam os visitantes.

O que é malware?

Malware é qualquer software ou aplicativo para dispositivos móveis projetado especificamente para causar danos a um computador, dispositivo móvel, bem como a usuários ou outro software. Além disso, o malware apresenta um comportamento malicioso que pode incluir a instalação de software sem o consentimento do usuário e a instalação de software nocivo, como vírus. Às vezes, os proprietários de sites não percebem que os arquivos disponibilizados para download são considerados malware, por isso esses binários talvez sejam hospedados inadvertidamente.

O que é software indesejado?

Software indesejado é um aplicativo para dispositivos móveis ou arquivo executável que tem comportamento enganoso, inesperado ou que afeta negativamente a experiência de navegação ou computação do usuário. Por exemplo, software que muda a página inicial ou altera outras configurações do navegador de modo indesejado ou apps que vazam informações pessoais e privadas sem a devida divulgação.

Diretrizes

Mantenha a conformidade com a Política de software indesejado e siga as diretrizes listadas nela. Apesar de não ser uma lista completa, esses comportamentos podem fazer com que apps e sites exibam avisos quando os usuários iniciam um download ou acesso. No relatório "Problemas de segurança", é possível ver uma lista de todos os arquivos suspeitos hospedados no seu site.

Apresentação clara e precisa
  • Informe os usuários de maneira precisa sobre o propósito e a intenção de um software. Os usuários devem estar cientes ao fazerem o download do software, sabendo exatamente o que será transferido ao clicarem em um anúncio preciso que informe isso de maneira clara. Anúncios que levam o usuário a fazer um download não podem ser enganosos ou imprecisos, como os seguintes:
    • Um anúncio que contenha somente os termos "Fazer o download" ou "Reproduzir" sem identificar a qual software ele se refere.
    • Um botão "Reproduzir" que leve o usuário a fazer um download.
    • Um anúncio que imita a aparência e o estilo do site do editor e finge oferecer conteúdo (um filme, por exemplo), mas acaba levando o usuário a um software não relacionado.
    • Leia sobre engenharia social no nosso blog de segurança on-line (em inglês).
  • Proceda conforme o anunciado. As funções e intenções do seu programa devem ser evidentes. Se o programa coletar dados do usuário ou inserir anúncios no navegador dele, deixe isso bem claro e não retrate essas funções como características insignificantes.
  • Explique para o usuário de maneira clara e explícita as mudanças que seu software fará no navegador e no sistema. Permita que os usuários analisem e aprovem todas as opções e mudanças significativas da instalação. A interface principal do usuário do seu programa precisa divulgar com clareza os componentes do binário e a funcionalidade principal deles. O binário deve oferecer ao usuário uma maneira fácil de pular a instalação de componentes agrupados. Por exemplo, ocultar essas opções ou usar texto pouco visível não é suficiente para a divulgação.
  • Use recomendações somente quando autorizado. Não use logotipos de outras empresas sem autorização para legitimar ou recomendar um produto. O mesmo vale para logotipos de governos.
  • Não dê um susto no usuário. O software não pode representar incorretamente o estado da máquina do usuário (por exemplo, alegando que o sistema está em um estado crítico de segurança ou infectado com vírus). O software não pode alegar que inclui um serviço que não oferece ou não é capaz de prestar (por exemplo, "deixe seu computador mais rápido"). Os softwares que servem para limpar e otimizar o computador, por exemplo, não podem ser anunciados como "gratuitos", exceto se os serviços e componentes anunciados não exigirem pagamento.
Diretrizes para software
  • Use a API Google Settings caso seu programa mude as configurações do Google Chrome. Qualquer alteração nas configurações de pesquisa padrão do usuário, na página de inicialização ou na página Nova guia precisa ser feita por meio da API Chrome Settings Override. Isso exige o uso de uma extensão do Google Chrome, assim como um fluxo de instalação da extensão compatível.
  • Permita que caixas de diálogo do navegador e do sistema operacional alertem o usuário conforme pretendido. Não impeça a exibição de alertas do navegador ou do sistema operacional para o usuário, principalmente aqueles que informam sobre mudanças no navegador ou no SO.
  • Recomendamos que você assine seu código. Um código binário sem assinatura não chega a ser um motivo para uma sinalização de software indesejado. No entanto, recomendamos que os programas tenham uma assinatura de código válida e verificada, emitida por uma autoridade de assinatura de códigos que apresente informações de publicação que possam ser verificadas.
  • Não comprometa as medidas de segurança e proteção fornecidas por conexões TLS/SSL. Um aplicativo não pode instalar um certificado de autoridade de certificação raiz. Ele também não pode interceptar conexões SSL/TLS, a menos que seja projetado para especialistas com o propósito de investigar ou depurar software. Para ver mais detalhes, confira esta postagem do blog de segurança do Google (em inglês).
  • Proteja os dados do usuário. Os softwares, incluindo os apps para dispositivos móveis, só podem transmitir aos servidores os dados privados do usuário relacionados à função do aplicativo. Além disso, essas transmissões precisam ser criptografadas e divulgadas para o usuário.
  • Não prejudique ninguém. O binário precisa respeitar a experiência de navegação do usuário, não a prejudicar. Verifique se os binários para download aderem às seguintes políticas comuns:
    • Não desabilite o recurso de redefinição do navegador. Leia sobre o botão de redefinir configurações do navegador no Google Chrome.
    • Não ignore nem suprima alterações de configuração no controle de IU do sistema operacional ou navegador. Seu programa deve notificar os usuários e permitir que eles controlem as mudanças nas configurações do navegador de forma adequada. Use a API Settings para mudar as configurações do Google Chrome (veja esta postagem no blog Chromium, em inglês).
    • Use uma extensão para alterar a funcionalidade do Google Chrome em vez de mudar o comportamento do navegador por outras formas de programação. Por exemplo, seu programa não pode usar bibliotecas de vínculo dinâmico (DLL, na sigla em inglês) para injetar anúncios no navegador nem implantar proxies que interceptem o tráfego. O programa também não pode usar um provedor de serviços em camadas (LSP, na sigla em inglês) para interceptar as ações dos usuários, assim como não pode usar patches no binário do Google Chrome para inserir novas interfaces do usuário em todas as páginas da Web.
    • Suas descrições de produtos e componentes não devem assustar o usuário e/ou fazer declarações falsas ou enganosas. Por exemplo, o produto não deve fazer declarações falsas sobre o sistema estar em estado crítico de segurança ou infectado por vírus. Os programas como limpadores de registro não devem exibir mensagens alarmantes sobre o estado do computador ou dispositivo do usuário e afirmar que podem otimizar o computador.
    • Faça um processo de desinstalação simples, fácil de encontrar e livre de ameaças. Seu programa deve ter instruções claras para retornar o navegador e/ou o sistema às configurações anteriores. O desinstalador precisa remover todos os componentes e não pode impedir o usuário de continuar o processo de desinstalação, alegando, por exemplo, possíveis efeitos negativos para o sistema ou a privacidade do usuário caso o software seja desinstalado.
  • Ande em boa companhia. Caso seu software agrupe outros componentes, você será responsável por garantir que nenhum deles viole as recomendações acima.
Diretrizes para extensões do Chrome
Diretrizes de apps para dispositivos móveis
  • Informe aos usuários que você tem a intenção de coletar dados sobre eles. Dê aos usuários uma oportunidade de concordar com a coleta de dados. Inclua informações sobre apps instalados, arquivos no dispositivos móvel, e-mail, número de telefone e contas de terceiros. Os dados pessoais ou confidenciais coletados dos usuários devem ser tratados de maneira segura, além de ser transmitidos com uso de criptografia moderna (por exemplo, por HTTPS). Para apps que não são do Google Play, é necessário informar sobre coleta de dados ao usuário no próprio app. Para aplicativos do Google Play, essa divulgação precisa estar de acordo com a política do Google Play. Não colete dados que não façam parte do uso publicado do seu aplicativo.

  • Não imite a identidade de outro app ou outra marca. Não use imagens impróprias ou não autorizadas nem design semelhante ao de outro app ou marca de formas que possam confundir o usuário.
  • Mantenha todo o conteúdo no contexto do app. Os apps não podem interferir em outros nem na usabilidade do dispositivo. Os apps não podem exibir anúncios nem conteúdo adicional que não façam parte do contexto nem da função deles sem o consentimento do usuário, o que inclui uma atribuição clara da origem desse material onde quer que ele apareça.
  • O app precisa cumprir as promessas feitas aos usuários. É necessário que toda a funcionalidade anunciada seja disponibilizada ao usuário no app. Os apps podem atualizar o conteúdo de outros, mas não podem fazer o download de apps adicionais sem o consentimento do usuário.
  • Dê transparência ao comportamento. Os apps não podem desinstalar nem substituir outros apps ou atalhos, a não ser que essa seja a funcionalidade declarada deles. A desinstalação deve ser clara e completa. Os aplicativos não devem imitar instruções do SO do dispositivo nem de outros aplicativos.

Os apps distribuídos pelo Google Play precisam estar em conformidade com as Políticas do programa para desenvolvedores e o Contrato de distribuição do desenvolvedor, que estabelecem requisitos adicionais.

Correção do problema

Confirme que o site ou app segue as diretrizes acima e solicite uma revisão no relatório Problemas de segurança.

Caso o app para dispositivos móveis esteja exibindo avisos, leia este artigo sobre a verificação de apps e as contestações.