Зловживання пристроєм і мережею

Невдовзі цю статтю буде змінено

Цю статтю буде оновлено відповідно до нещодавно оголошених змін.

Ми доповнили правила щодо зловживання пристроєм і мережею новим прикладом про те, що в додатках заборонено використовувати дозвіл для повноекранних об’єктів, щоб змушувати користувачів взаємодіяти з рекламою або сповіщеннями, які переривають роботу додатка. (аата набуття чинності: 31 травня 2024 р.)

Щоб переглянути оновлену версію статті "Зловживання пристроєм і мережею", відвідайте цю сторінку.

Заборонено розміщувати додатки, які перешкоджають роботі, призводять до збоїв, пошкоджують або отримують несанкціонований доступ до пристрою користувача, інших пристроїв або комп’ютерів, серверів, мереж, інтерфейсів програмування (API) чи сервісів, зокрема інших додатків на пристрої, будь-яких сервісів Google або мережі авторизованого оператора.

Додатки в Google Play мають відповідати стандартним вимогам щодо оптимізації системи Android, наведеним в Основних інструкціях із якості додатків для Google Play.

Додаток, який розповсюджується через Google Play, можна змінювати, замінювати або оновлювати лише за допомогою механізму оновлення Google Play. Так само додаткам заборонено завантажувати виконуваний код (наприклад, файли dex, JAR і .so) з інших джерел, крім Google Play. Це обмеження не стосується коду, що запускається на віртуальній машині, або інтерпретатора, які надають непрямий доступ до інтерфейсів API Android (наприклад, JavaScript у компоненті WebView або веб-переглядачі). 

Додатки чи код сторонніх розробників (наприклад, SDK) з інтерпретованими мовами (JavaScript, Python, Lua тощо), які завантажуються під час виконання (тобто не належать до пакета додатка), мають унеможливлювати ймовірні порушення правил Google Play.

Заборонено розміщувати код, що створює вразливості системи безпеки чи використовує їх. Щоб дізнатися про нещодавні проблеми з безпекою, на які ми звертаємо увагу розробників, ознайомтеся з нашою Програмою підвищення безпеки додатків.

Приклади поширених порушень
  • Додатки, які блокують оголошення інших додатків або перешкоджають їх показу.
  • Додатки для обману в іграх, які впливають на процес гри в інших додатках.
  • Додатки, які містять вказівки, як зламати сервіси, програмне й апаратне забезпечення чи обійти систему захисту, або сприяють таким діям.
  • Додатки, які отримують доступ до сервісу чи API або використовують їх у спосіб, що порушує умови використання сервісу.
  • Додатки, відсутні в білому списку, які намагаються обійти керування живленням системи.
  • Додатки можуть надавати послуги посередництва (проксі-сервіси) стороннім розробникам, лише якщо це їх основна функція для користувачів.
  • Додатки чи код сторонніх розробників (наприклад, SDK), які завантажують виконуваний код (наприклад, файли dex або нативний код) з інших джерел, крім Google Play.
  • Додатки, які встановлюють на пристрої інші додатки без попередньої згоди користувача.
  • Додатки, які містять посилання на зловмисне програмне забезпечення або сприяють його розповсюдженню чи встановленню.
  • Додатки чи код сторонніх розробників (наприклад, SDK), які містять компонент WebView з доданим інтерфейсом JavaScript, що завантажує ненадійний веб-контент (наприклад, URL-адреса протоколу HTTP) або неперевірені URL-адреси, отримані з ненадійних джерел (наприклад, URL-адреси, отримані з ненадійними намірами).

 

Використання активного сервісу

Дозвіл на запуск активного сервісу забезпечує належне використання активних сервісів, орієнтованих на користувача. Якщо додаток призначений для Android 14 або новішої версії, ви повинні вказати дійсний тип для кожного його активного сервісу. Для кожного типу також потрібно задекларувати дозвіл на запуск активного сервісу. Наприклад, якщо в додатку використовується геолокація, у його маніфесті потрібно вказати дозвіл FOREGROUND_SERVICE_LOCATION.

У додатках можна задекларувати дозвіл на запуск активного сервісу лише в перелічених нижче випадках.

  • Активний сервіс надає важливу для користувача функцію, пов’язану з основним призначенням додатка.
  • Сервіс запускається користувачем, або його робота помітна йому (наприклад, сервіс відтворює музичну композицію, транслює медіаконтент на інший пристрій, надає точні й зрозумілі сповіщення, виконує запит користувача на завантаження фотографії в хмарне сховище).
  • Користувач може припинити або зупинити роботу сервісу.
  • Якщо роботу сервісу буде перервано чи відкладено, це викличе в користувача негативну реакцію, або функція додатка працюватиме не так, як очікував користувач (наприклад, якщо користувач хоче зателефонувати, то система не має відкладати виклик).
  • Сервіс працює не довше, ніж потрібно для виконання завдання.

Наведені вище критерії не поширюються на такі варіанти активних сервісів:

Дізнайтеся більше про використання активних сервісів.

 

Передавання даних, ініційоване користувачем

Додатки можуть використовувати API для передавання даних, ініційованих користувачем, лише якщо:

  • завдання ініціює користувач;
  • дані передаються через мережу;
  • API працює не довше, ніж потрібно для виконання завдання.

Дізнайтеся більше про API для передавання даних, ініційованого користувачем.

 

Вимоги до позначки FLAG_SECURE

FLAG_SECURE – це позначка контенту, яку декларують у програмному коді додатка та яка вказує на те, що інтерфейс цього додатка містить чутливі дані, які під час використання додатка слід показувати лише на безпечній платформі. Ця позначка має запобігати появі таких даних на знімках екрана або перегляду їх на незахищених дисплеях. Розробники декларують цю позначку, коли контент додатка не слід транслювати, переглядати або передавати в будь-який інший спосіб за межами додатка чи пристрою користувача.

З міркувань безпеки й конфіденційності даних усі додатки, що розповсюджуються в Google Play, повинні враховувати обмеження інших додатків, передбачених позначкою FLAG_SECURE в їх деклараціях. Іншими словами, розробникам заборонено у своїх додатках намагатись або пропонувати обійти налаштування FLAG_SECURE в інших додатках.

Ця вимога не поширюється на додатки з категорії Інструменти спеціальних можливостей, якщо вони не передають, не зберігають і не кешують контент, захищений позначкою FLAG_SECURE, з метою надання доступу до нього за межами пристрою користувача.

 

Додатки, які запускають вбудовані контейнери Android

Додатки з вбудованими контейнерами Android створюють середовища, які повністю або частково імітують операційну систему Android. Ці середовища можуть не включати всіх функцій безпеки Android, тому розробники можуть заборонити запуск своїх додатків у середовищах вбудованих контейнерів Android, додавши у файл маніфесту відповідний прапор.

Прапор у маніфесті про безпечне середовище

REQUIRE_SECURE_ENV – це прапор, який можна задекларувати у файлі маніфесту додатка, щоб заборонити запуск цього додатка у вбудованих контейнерах Android. З міркувань безпеки й конфіденційності додатки, які запускаються у вбудованих контейнерах Android, мають враховувати обмеження всіх додатків, для яких задекларовано цей прапор, а також:
  • перевіряти, чи задекларовано цей прапор у маніфестах додатків, які вони мають намір завантажити у вбудованому контейнері Android;
  • не завантажувати у вбудований контейнер Android додатки, для яких задекларовано цей прапор;
  • не працювати як проксі, перехоплюючи або викликаючи інтерфейси API на пристрої, щоб імітувати додатки, установлені в контейнері;
  • не намагатись або пропонувати обійти обмеження прапора (наприклад, обійти прапор REQUIRE_SECURE_ENV, який задекларовано в поточній версії додатка, за допомогою завантаження його старішої версії).
Дізнайтеся більше про ці правила в нашому Довідковому центрі.

Чи корисна ця інформація?

Як можна її покращити?

Потрібна додаткова допомога?

Спробуйте дії нижче.

Зв’яжіться з нами Розкажіть нам більше й отримайте допомогу
true
Пошук
Очистити пошук
Закрити пошук
Головне меню
7878426272415298047
true
Пошук у довідковому центрі
true
true
true
true
true
92637
false
false