Zloraba naprave in omrežja

Ta članek bo doživel spremembe

Ta članek bo posodobljen z nedavno napovedanimi spremembami.

Pravilniku o zlorabi naprav in omrežja dodajamo nov primer, ki določa, da aplikacijam ne dovolimo uporabe dovoljenja za celozaslonski namen, da bi z motečimi oglasi ali obvestili uporabnike silile v poseganje. (začetek veljavnosti: 31. maj 2024)

Če želite predogled posodobljenega članka »Zloraba naprave in omrežja«, obiščite to stran.

Aplikacije, ki motijo, poškodujejo ali na nepooblaščen način dostopajo do uporabnikove naprave, drugih naprav ali računalnikov, strežnikov, omrežij, API-jev ali storitev, vključno z drugimi aplikacijami v napravi, Googlovimi storitvami ali pooblaščenim omrežjem operaterja, vendar ne omejeno nanje, niso dovoljene.

Aplikacije v Googlu Play morajo biti skladne s privzetimi zahtevami za optimiziranje sistema Android, dokumentiranimi v temeljnih smernicah za kakovost aplikacij za Google Play.

Aplikacija, distribuirana prek Googla Play, se ne sme spremeniti, nadomestiti ali posodobiti na kakršen koli način, razen z mehanizmom za posodabljanje v Googlu Play. Aplikacija prav tako ne sme prenesti izvedljive programske kode (npr. datotek dex, JAR, .so) iz virov, ki niso Google Play. Ta omejitev ne velja za programsko kodo, ki se izvaja v navideznem računalniku ali prevajalniku, pri čemer kateri koli od njiju omogoča posredni dostop do API-jev za Android (na primer JavaScripta v spletnem pogledu ali brskalniku).

Aplikacije ali koda tretje osebe (npr. kompleti za razvoj programske opreme) s prevedenimi jeziki (JavaScript, Python, Lua ipd.), ki se naložijo v času izvajanja (tj. niso pakirani z aplikacijo), ne smejo dovoliti morebitnih kršitev pravilnikov za Google Play.

Koda, ki uvaja ali izkorišča varnostne ranljivosti, ni dovoljena. Oglejte si program za izboljšanje varnosti aplikacij, če želite izvedeti za najnovejše varnostne težave, na katere so opozorili razvijalce.

Primeri pogostih kršitev

Aplikacije, ki blokirajo ali motijo prikaz oglasov druge aplikacije.
Aplikacije za goljufanje v igrah, ki vplivajo na igranje iger v drugih aplikacijah.
Aplikacije, ki vsebujejo navodila za vdiranje v storitve, programsko opremo ali strojno opremo ali navodila, kako obiti varnostno zaščito, oziroma omogočajo te dejavnosti.
Aplikacije, ki dostopajo do storitve ali API-ja ali ju uporabljajo na način, ki krši pogoje storitve.
Aplikacije, ki niso ustrezne za uvrstitev na seznam dovoljenih in poskušajo obiti upravljanje porabe energije sistema.
Aplikacije, ki omogočajo storitve namestniških strežnikov tretjim osebam, smejo to početi samo v aplikacijah, katerih glavni in temeljni namen, namenjen uporabnikom, je prav to.
Aplikacije ali koda tretje osebe (npr. kompleti za razvoj programske opreme), ki prenašajo izvedljivo programsko kodo, na primer datoteke dex ali izvorno kodo, iz virov, ki niso Google Play.
Aplikacije, ki namestijo druge aplikacije v napravo brez predhodnega dovoljenja uporabnika.
Aplikacije, ki imajo povezavo do distribucije ali namestitve zlonamerne programske opreme ali ki to omogočajo.
Aplikacije ali koda tretje osebe (npr. kompleti za razvoj programske opreme), ki vsebujejo spletni pogled z dodanim vmesnikom JavaScripta, ki naloži spletno vsebino, ki ni zaupanja vredna (npr. URL http://), ali nepreverjene URL-je, pridobljene iz virov, ki niso zaupanja vredni (npr. URL-ji, pridobljeni z nameni, ki niso zaupanja vredni).

Uporaba storitev v ospredju

Dovoljenje za storitve v ospredju zagotavlja primerno uporabo k uporabniku usmerjenih storitev v ospredju. Pri aplikacijah, ki ciljajo operacijski sistem Android 14 in njegove novejše različice, morate navesti veljavno vrsto storitve v ospredju za posamezne storitve v ospredju, ki se uporabljajo v aplikaciji, in deklarirati dovoljenje za storitev v ospredju, primerno za to vrsto storitve. Če primer rabe v aplikaciji na primer zahteva geolociranje na zemljevidu, morate v manifestu aplikacije deklarirati dovoljenje FOREGROUND_SERVICE_LOCATION.

Aplikacije smejo deklarirati dovoljenje za storitev v ospredju samo, če za njeno uporabo velja, da:

zagotavlja funkcijo, koristno za uporabnika in pomembno za osnovno funkcionalnost aplikacije;
jo sproži uporabnik ali jo uporabnik zazna (npr. zvok pri predvajanju skladbe, predvajanje predstavnosti v drugi napravi, točno in razločno obvestilo uporabniku, zahteva uporabnika za nalaganje fotografije v oblak);
jo lahko uporabnik prekine ali ustavi;
je sistem ne more zmotiti ali odložiti, ne da bi s tem povzročil negativno uporabniško izkušnjo ali da funkcija, ki jo pričakuje uporabnik, posledično ne bi delovala, kot je zamišljeno (npr. telefonski klic se mora začeti takoj in ga sistem ne sme odložiti);
se izvaja samo tako dolgo, kot to terja dokončanje opravila.

Zgornja merila ne veljajo za te primere uporabe storitev v ospredju:

vrste storitev v ospredju systemExempted ali shortService;
vrsta storitev v ospredju dataSync samo pri uporabi funkcij Play Asset Delivery.

Dodatna pojasnila o uporabi storitev v ospredju so tukaj.

Opravila prenosa podatkov, ki jih sproži uporabnik

Aplikacije smejo uporabljati API za opravila prenosa podatkov, ki jih sproži uporabnik, samo v teh primerih:

uporabo začne uporabnik;
za opravila prenosa podatkov v omrežju;
izvaja se samo tako dolgo, kot je potrebno za dokončanje prenosa podatkov.

Uporaba API-jev za prenos podatkov, ki jih sproži uporabnik, je nadalje razložena tukaj.

Zahteve za Flag Secure

FLAG_SECURE je prikazovalna zastavica, deklarirana v kodi aplikacije, ki označuje, da njen uporabniški vmesnik vsebuje občutljive podatke, ki bi morali biti med uporabo aplikacije omejeni na varno okolje. Namen te zastavice je preprečiti, da bi bili podatki prikazani na posnetkih zaslona ali na zaslonih, ki niso varni. Razvijalci to zastavico deklarirajo, ko vsebina aplikacije naj ne bi bila oddajana, prikazana ali drugače prenesena zunaj aplikacije ali uporabnikove naprave.

Zaradi varnostnih in zasebnostnih razlogov morajo vse aplikacije, distribuirane v Googlu Play, upoštevati deklaracijo FLAG_SECURE drugih aplikacij. To pomeni, da aplikacije ne smejo omogočati ali ustvarjati načinov, da se obidejo ali preglasijo nastavitve FLAG_SECURE v drugih aplikacijah.

Ta zahteva ne velja za aplikacije, ki izpolnjujejo pogoje za orodje za ljudi s posebnimi potrebami, pod pogojem, da vsebine, zaščitene z zastavico FLAG_SECURE, ne oddajajo, shranijo ali predpomnijo za dostop zunaj naprave uporabnika.

Aplikacije, ki izvajajo vsebnike za Android v napravi

Aplikacije za vsebnik za Android v napravi omogočajo okolja, ki simulirajo celoten temeljni operacijski sistem Android ali njegove dele. Izkušnja s temi okolji morda ne odraža celotne zbirke varnostnih funkcij sistema Android, zato lahko razvijalci dodajo zastavico manifesta za varno okolje, s čimer vsebnikom za Android v napravi sporočijo, da ne smejo delovati v simuliranih okoljih Androida.

Zastavica manifesta za varno okolje

REQUIRE_SECURE_ENV je zastavica, ki jo je mogoče deklarirati v manifestu aplikacije in tako navesti, da se ta aplikacija ne sme izvajati v aplikacijah za vsebnik za Android v napravi. Zaradi varnostnih in zasebnostnih razlogov morajo aplikacije, ki zagotavljajo vsebnike za Android v napravi, upoštevati vse aplikacije, ki deklarirajo to zastavico, in:

V skladu s to zastavico je treba pregledati manifeste aplikacij, ki jih nameravajo naložiti v vsebniku za Android v napravi.
Aplikacije, ki so deklarirale to zastavico, se ne smejo naložiti v vsebniku za Android v napravi.
Ne smejo delovati kot strežnik proxy s prestrezanjem ali klicanjem API-jev v napravi, da je videti, kot da so nameščene v vsebniku.
Ne smejo omogočati ali ustvarjati načinov, da se obide zastavica (na primer z nalaganjem starejše različice aplikacije, da se obide zastavica REQUIRE_SECURE_ENV trenutne aplikacije).

Več informacij o tem pravilniku najdete v našem centru za pomoč.

Je bilo to uporabno?

Kako lahko to izboljšamo?