Előnézet: Eszközzel és hálózattal való visszaélés

Irányelv előnézete (hatálybalépés dátuma: 2024. május 31.)

Ez a cikk a 2023. októbertől érvényes irányelvfrissítéseket mutatja be.

Új példákat adunk hozzá az eszközzel és hálózattal való visszaélésről szóló irányelvünkhöz, hogy egyértelművé tegyük: nem engedélyezzük, hogy az alkalmazások a teljes képernyős intentengedélyek használatával arra kényszerítsék a felhasználókat, hogy tevékenységeket végezzenek zavaró hirdetésekkel vagy értesítésekkel.

A jelenlegi „Eszközzel és hálózattal való visszaélés” cikk megtekintéséhez látogass el erre az oldalra.

Nem engedélyezzük azokat az alkalmazásokat, amelyek jogosulatlan módon zavarják, akadályozzák, károsítják vagy érik el a felhasználó eszközét, illetve más eszközöket, számítógépeket, szervereket, hálózatokat, alkalmazásprogramozási felületeket (API-kat) vagy szolgáltatásokat, köztük az eszközön megtalálható egyéb alkalmazásokat, valamilyen Google-szolgáltatást vagy hitelesített szolgáltatói hálózatot.

A Google Play szolgáltatáson keresztül közzétett alkalmazásoknak meg kell felelniük az Android rendszer alapértelmezett optimalizációs követelményeinek, melyek a Core App Quality guidelines for Google Play (Alapvető alkalmazásminőségi irányelvek a Google Play számára) című dokumentumban találhatók.

A Google Playen keresztül terjesztett alkalmazások nem módosíthatják, cserélhetik le vagy frissíthetik saját magukat a Google Play frissítési mechanizmusától eltérő módszerek használatával. Az alkalmazások ugyanígy nem tölthetnek le futtatható kódot sem (például .dex, JAR és hasonló fájlokat) Google Playen kívüli forrásból. A korlátozás nem vonatkozik a virtuális gépen vagy tolmácson futó, az Android API-khoz közvetett hozzáférést biztosító kódokra (például WebView környezetben vagy böngészőben lévő JavaScriptre).

A futásidő alatt betöltődő (pl. nem az alkalmazáshoz csomagolt) tolmácsolt nyelvet (JavaScript, Python, Lua stb.) tartalmazó alkalmazások vagy harmadik félhez tartozó kódok (pl. SDK-k) nem tehetik lehetővé a Google Play irányelveinek megsértését.

Nem engedélyezünk olyan kódokat, amelyek biztonsági réseket hoznak létre vagy használnak ki. Az alkalmazásbiztonság növelését célzó programunk, további, naprakész tájékoztatást nyújt a fejlesztőknek jelzett legfrissebb biztonsági problémákról.

Az eszközzel és hálózattal való visszaélés gyakori példái:

  • Olyan alkalmazások, melyek más alkalmazások hirdetésmegjelenítési mechanizmusait akadályozzák vagy módosítják.
  • Játékbeli csalást elősegítő alkalmazások, amelyek befolyásolják a játékmenetet más alkalmazásokban.
  • Olyan alkalmazások, amelyek elősegítik szolgáltatások, szoftverek vagy hardverek feltörését, vagy megkerülik a biztonsági védelmeket, illetve ezekkel kapcsolatban adnak útmutatást.
  • Olyan alkalmazások, amelyek az Általános Szerződési Feltételek megsértésével érnek el vagy használnak valamilyen szolgáltatást vagy API-t.
  • Olyan alkalmazások, amelyek nem jogosultak az engedélyezőlistára való felvételre, és megpróbálják megkerülni a rendszer energiakezelését.
  • Azok az alkalmazások, amelyek proxyszolgáltatást nyújtanak harmadik feleknek, csak akkor tehetik ezt meg az alkalmazásokban, ha ez az elsődleges, felhasználók számára nyújtott, alapvető rendeltetésük;
  • A Google Playen kívüli forrásból futtatható kódot, például .dex fájlokat vagy natív kódot letöltő alkalmazások vagy harmadik félhez tartozó kódok (pl. SDK-k).
  • Olyan alkalmazások, amelyek a felhasználó előzetes hozzájárulása nélkül más alkalmazásokat telepítenek az eszközre.
  • Olyan alkalmazások, amelyek rosszindulatú programra mutató linket tartalmaznak, vagy elősegítik a rosszindulatú programok terjesztését vagy telepítését.
  • Alkalmazások vagy harmadik félhez tartozó kódok (pl. SDK-k), amelyek webes nézetet tartalmaznak hozzáadott interfészinjekciós JavaScripttel, és megbízhatatlan webes tartalmakat (pl. http:// URL-címeket) vagy olyan ellenőrizetlen URL-címeket töltenek be, amelyek megbízhatatlan forrásból származnak (pl. nem megbízható intentek URL-címeiből).
  • Olyan alkalmazások, amelyek a teljes képernyős intentengedélyek használatával arra kényszerítik a felhasználókat, hogy tevékenységeket végezzenek zavaró hirdetésekkel vagy értesítésekkel.

 

Az előtérben futó szolgáltatás használata

Az előtérben futó szolgáltatással kapcsolatos engedély biztosítja a felhasználó számára látható előtérben futó szolgáltatások megfelelő használatát. Az Android 14-es vagy annál magasabb verziót célzó alkalmazások esetében meg kell adnod egy érvényes előtérben futó szolgáltatási típust az alkalmazásodban használt minden egyes előtérben futó szolgáltatáshoz, és deklarálnod kell az adott típusnak megfelelő, előtérben futó szolgáltatási engedélyt. Például ha az alkalmazásod használati esetének szüksége van a térképes földrajzihely-meghatározásra, akkor deklarálnod kell a FOREGROUND_SERVICE_LOCATION engedélyt az alkalmazásod manifestjében.

Az alkalmazások csak akkor deklarálhatnak előtérben futó szolgáltatási engedélyt, ha:

  • a használat az alkalmazás alapvető funkciójához kapcsolódó, a felhasználók számára előnyös funkciót biztosít,
  • a használatot a felhasználó kezdeményezi, vagy a használat a felhasználó által érzékelhető (például hang egy dal lejátszásakor, médiatartalom átküldése egy másik eszközre, pontos és egyértelmű felhasználói értesítés, felhasználói kérés a fotók felhőbe feltöltésével kapcsolatban),
  • a használatot megszüntetheti vagy szüneteltetheti a felhasználó,
  • a használatot nem tudja megszakítani vagy késleltetni a rendszer anélkül, hogy az ne okozna negatív felhasználói élményt, vagy ne okozná azt, hogy a felhasználó által elvárt funkció ne az elvárásnak megfelelően működjön (például a telefonhívásnak azonnal el kell indulnia, és nem késleltetheti a rendszer),
  • a használat csak a feladat befejezéséhez szükséges ideig tart.

A következő előtérben futó szolgáltatási használati esetek mentesülnek a fenti kritériumok alól:

Az előtérben futó szolgáltatás használatáról bővebb ismertetést itt találsz.

 

Felhasználó által kezdeményezett adatátviteli munkák

Az alkalmazások csak akkor használhatják a felhasználó által kezdeményezett adatátviteli munkák API-t, ha:

  • a használatot a felhasználó kezdeményezte;
  • a használat célja hálózati adatátviteli feladatok teljesítése;
  • a használat csak az adatátvitel befejezéséhez szükséges ideig tart.

A felhasználó által kezdeményezett adatátviteli API-król bővebb ismertetést itt találsz.

 

A Flag Secure beállítással kapcsolatos követelmények

A FLAG_SECURE az alkalmazás kódjában deklarált, annak jelzésére szolgáló megjelenítési jelző, hogy az alkalmazás kezelőfelülete olyan érzékeny adatokat tartalmaz, amelyeket az alkalmazás használata közben egy biztonságos felületre célszerű korlátozni. A jelző annak megelőzésére szolgál, hogy az adatok képernyőképen jelenjenek meg vagy pedig hogy nem biztonságos megjelenítőkön tekintsék meg őket. A fejlesztők olyankor deklarálják, amikor az alkalmazás tartalmát nem volna célszerű közvetíteni, megtekinteni vagy máshogy továbbítani az alkalmazáson vagy a felhasználó eszközén kívülre.

Biztonsági és adatvédelmi célokból a Google Playen terjesztett valamennyi alkalmazásnak tiszteletben kell tartania más alkalmazások FLAG_SECURE deklarációját. Ez azt jelenti, hogy az alkalmazások nem könnyíthetik meg a FLAG_SECURE beállítások megkerülését más alkalmazásokban, illetve nem hozhatnak létre erre szolgáló megoldásokat.

A kisegítő eszköznek minősülő alkalmazások mentesülnek e követelmény alól, amennyiben nem továbbítanak, mentenek vagy tárolnak gyorsítótárban a FLAG_SECURE jelző által védett tartalmat a felhasználó eszközén kívüli hozzáférés céljára.

 

Alkalmazások, amelyek eszközalapú Android-tárolókon futnak

Az eszközalapú Android-tárolóalkalmazások olyan környezeteket biztosítanak, amelyek egy mögöttes Android operációs rendszer egészét vagy részeit szimulálják. A környezetekben tapasztalható élmény nem feltétlenül tükrözi az Android biztonsági funkcióinak teljes csomagját, ezért a fejlesztők dönthetnek úgy, hogy hozzáadnak egy biztonságos környezet manifestjelölőt, így közölhetik az eszközalapú Android-tárolókkal, hogy nem működhetnek a szimulált Android-környezetükben.

Biztonságos környezet manifestjének jelzője

REQUIRE_SECURE_ENV: olyan jelző, amelyet deklarálni lehet az alkalmazás manifestjében, így jelezve, hogy az alkalmazást tilos futtatni eszközalapú Android-tároló alkalmazásokban. Biztonsági és adatvédelmi célokból az eszközalapú Android-tárolókat kínáló alkalmazásoknak tiszteletben kell tartaniuk az összes olyan alkalmazást, amely deklarálja ezt a jelzőt, illetve:
  • Ennél a jelölőnél tekintsd át az eszközalapú Android-tárolóba betölteni kívánt alkalmazások manifestjeit.
  • Ne történjen meg azon alkalmazások betöltése, amelyek bejelentették ezt a jelölőt az eszközalapú Android-tárolójuknál.
  • Ne működjön proxyként API-k hozzáférésénél vagy hívásánál az eszközön, hogy azok telepítettként jelenjenek meg a tárolóban.
  • Ne hozzon létre megkerülő megoldásokat a jelölő megkerülésére, és ne segítse ezeket (például egy alkalmazás régebbi verziójának betöltése az aktuális alkalmazás REQUIRE_SECURE_ENV jelölőjének kikerülése céljából).
További információt találsz erről az irányelvről a Súgóban.

Hasznosnak találta?

Hogyan fejleszthetnénk?

További segítségre van szüksége?

Próbálja ki a következő lépéseket:

Vegye fel velünk a kapcsolatot Mondja el a részleteket, és segítünk a megoldásban
true
Keresés
Keresés törlése
A keresés bezárása
Főmenü
342352379366182509
true
Keresés a Súgóoldalakon
true
true
true
true
true
92637
false
false