Utilizzo illecito di dispositivi e reti

A breve verranno apportate alcune modifiche a questo articolo

Questo articolo verrà aggiornato con le modifiche annunciate recentemente.

Stiamo aggiungendo un nuovo esempio alle nostre norme relative all'utilizzo illecito di dispositivi e reti per sottolineare che alle app non è consentito l'uso dell'autorizzazione per intent a schermo intero per forzare l'interazione dell'utente con notifiche o annunci improvvisi. (in vigore dal 31 maggio 2024)

Visita questa pagina per visualizzare l'anteprima dell'articolo aggiornato "Utilizzo illecito di dispositivi e reti".

Sono vietate le app che accedono senza autorizzazione al dispositivo dell'utente, ad altri dispositivi o computer, server, reti, API (interfaccia di programmazione di un'applicazione) o servizi, inclusi, a titolo esemplificativo, altre app sul dispositivo, servizi di Google o la rete di un operatore autorizzato, o che li interrompono, danneggiano o ostacolano..

Le app su Google Play devono rispettare i requisiti di ottimizzazione del sistema Android predefiniti e documentati nelle Norme fondamentali sulla qualità delle app per Google Play.

Un'app distribuita tramite Google Play non può essere modificata, sostituita o aggiornata utilizzando metodi diversi dal meccanismo di aggiornamento di Google Play. Analogamente, un'app non può scaricare codice eseguibile (ad esempio file dex, JAR e .so) da una fonte diversa da Google Play. Questa limitazione non riguarda il codice che viene eseguito su una macchina virtuale o un interprete che danno accesso indiretto alle API Android (ad esempio JavaScript in un componente WebView o in un browser).

App o codice di terze parti (ad esempio SDK) con linguaggi interpretati (JavaScript, Python, Lua e così via) caricati in fase di runtime (ad esempio non inclusi nell'app) non devono consentire potenziali violazioni delle norme di Google Play.

È vietato il codice che introduce o sfrutta vulnerabilità di sicurezza. Consulta il Programma App Security Improvement per scoprire i problemi di sicurezza più recenti segnalati agli sviluppatori.

Esempi di violazioni comuni

App che bloccano o interferiscono con un'altra app mostrando annunci.
App che alterano il gameplay di altre app consentendo di barare.
App che facilitano la compromissione di servizi, software o hardware, l'elusione di misure di sicurezza o che forniscono istruzioni a riguardo.
App che utilizzano o accedono a un servizio o a un'API con modalità che costituiscono una violazione dei relativi termini di servizio.
App che non sono idonee all'inserimento in lista consentita e che tentano di aggirare le misure di gestione dell'alimentazione di sistema .
App che facilitano servizi proxy verso terzi, comportamento consentito solo laddove questo sia lo scopo principale dell'app proposto all'utente.
App o codice di terze parti (ad es. SDK) che scaricano codice eseguibile, come file dex o codice nativo, da una fonte diversa da Google Play.
App che installano altre app su un dispositivo senza previo consenso dell'utente.
App che agevolano o rimandano alla distribuzione o all'installazione di software dannoso.
App o codice di terze parti (ad esempio SDK) contenenti un componente WebView con interfaccia JavaScript aggiunta che carica contenuti web non attendibili (ad esempio, URL http://) oppure URL non verificati derivanti da fonti non attendibili (ad esempio, URL derivanti da intent non attendibili).

Utilizzo del servizio in primo piano

L'autorizzazione del servizio in primo piano garantisce che i servizi in primo piano rivolti agli utenti siano utilizzati in modo appropriato. Per le app che hanno come target Android 14 e versioni successive, devi specificare un tipo di servizio in primo piano valido per ogni servizio in primo piano utilizzato nell'app e dichiarare la relativa autorizzazione appropriata per quel tipo. Ad esempio, se il caso d'uso della tua app richiede la geolocalizzazione sulla mappa, devi dichiarare l'autorizzazione FOREGROUND_SERVICE_LOCATION nel file manifest dell'app.

Le app possono dichiarare un'autorizzazione per i servizi in primo piano solo se l'utilizzo:

fornisce una funzionalità vantaggiosa per l'utente e pertinente alla funzionalità di base dell'app
viene avviato o può essere percepito dall'utente (ad esempio, l'audio di una canzone in riproduzione, la trasmissione di contenuti multimediali a un altro dispositivo, una notifica per l'utente chiara e precisa, la richiesta dell'utente di caricare una foto sul cloud)
può essere risolto o interrotto dall'utente
non può essere interrotto o differito dal sistema senza causare un'esperienza utente negativa o malfunzionamenti della funzionalità attesa dall'utente (ad esempio, una chiamata deve essere avviata immediatamente e non può essere differita dal sistema)
dura solo il tempo necessario al completamento dell'attività

I seguenti casi d'uso dei servizi in primo piano sono esenti dai criteri di cui sopra:

tipi di servizi in primo piano systemExempted o shortService
tipo di servizio in primo piano dataSync solo quando si utilizzano le funzionalità Play Asset Delivery

L'utilizzo del servizio in primo piano è spiegato più approfonditamente in questa pagina.

User-Initiated Data Transfer Jobs

Le app sono autorizzate a utilizzare l'API User-Initiated Data Transfer Jobs solo se l'utilizzo:

è avviato dall'utente;
è volto all'attività di trasferimento di dati di rete;
dura solo il tempo necessario al completamento del trasferimento di dati.

L'utilizzo delle API User-Initiated Data Transfer è spiegato più approfonditamente in questa pagina.

Requisiti di Flag Secure

FLAG_SECURE è un flag di visualizzazione dichiarato nel codice di un'app e indica che la sua UI contiene dati sensibili che devono essere limitati a una piattaforma sicura durante l'utilizzo dell'app. Questo flag è progettato per impedire che i dati vengano mostrati in screenshot o in visualizzazioni non sicure. Gli sviluppatori dichiarano questo flag quando i contenuti dell'app non devono essere trasmessi, visualizzati né altrimenti inviati al di fuori dell'app o del dispositivo dell'utente.

Per ragioni di sicurezza e privacy, tutte le app distribuite su Google Play devono rispettare la dichiarazione di FLAG_SECURE delle altre app. In altre parole, le app non devono agevolare o creare soluzioni alternative per bypassare le impostazioni di FLAG_SECURE in altre app.

Le app che si qualificano come Strumenti di accessibilità non sono tenute a rispettare questo requisito, purché non trasmettano, salvino o memorizzino nella cache contenuti protetti da FLAG_SECURE per l'accesso al di fuori del dispositivo dell'utente.

App che vengono eseguite in contenitori per Android sul dispositivo

Le app di contenitori per Android sul dispositivo offrono ambienti che simulano interamente o parzialmente porzioni di un sistema operativo Android. L'esperienza all'interno di questi ambienti potrebbe non riflettere la suite completa delle funzionalità di sicurezza Android, per questo motivo gli sviluppatori possono scegliere di aggiungere un flag del manifest relativo all'ambiente sicuro per comunicare ai contenitori per Android sul dispositivo che non devono operare negli ambienti Android simulati.

Flag del manifest relativo all'ambiente sicuro

REQUIRE_SECURE_ENV è un flag che è possibile dichiarare nel file manifest di un'app per indicare che l'app in questione non deve essere eseguita in app di contenitori per Android sul dispositivo. Per ragioni di sicurezza e privacy, le app che forniscono contenitori per Android sul dispositivo devono rispettare tutte le app che dichiarano questo flag e:

Rivedere i file manifest delle app che intendono caricare nel loro contenitore per Android sul dispositivo per questo flag.
Non caricare le app che hanno dichiarato questo flag nel loro contenitore per Android sul dispositivo.
Non funzionare da proxy intercettando o chiamando le API sul dispositivo in modo da sembrare installate nel contenitore.
Non agevolare o creare soluzioni alternative per bypassare il flag (ad esempio, caricando una versione precedente di un'app per bypassare l'attuale flag dell'app REQUIRE_SECURE_ENV).

Puoi trovare ulteriori informazioni su queste norme nel nostro Centro assistenza.

È stato utile?

Come possiamo migliorare l'articolo?