ข้อจำกัดความรับผิด: สรุปนโยบายและข้อควรพิจารณาที่สำคัญเป็นเพียงภาพรวมเท่านั้น โปรดอ่านนโยบายฉบับเต็มทุกครั้งเพื่อการปฏิบัติตามข้อกำหนด นโยบายฉบับเต็มจะมีผลเหนือกว่าในกรณีที่มีความขัดแย้ง
สรุป นโยบาย
Google Play ห้ามไม่ให้ใช้โค้ดที่เป็นอันตราย รวมถึง SDK ของบุคคลที่สามที่ผสานรวมเข้ากับแอป ซึ่งอาจทำให้ผู้ใช้ ข้อมูล หรืออุปกรณ์ของผู้ใช้ตกอยู่ในความเสี่ยง เพื่อรักษาระบบนิเวศของ Android ให้ปลอดภัย โปรดอ่านนโยบายฉบับเต็มเพื่อให้เป็นไปตามข้อกำหนด
มัลแวร์คือโค้ดที่อาจทำให้ผู้ใช้ ข้อมูลของผู้ใช้ หรืออุปกรณ์มีความเสี่ยง มัลแวร์รวมถึงแต่ไม่จำกัดเพียงแอปที่อาจเป็นอันตราย ไบนารี หรือการแก้ไขเฟรมเวิร์ก ซึ่งประกอบไปด้วยหมวดหมู่ต่างๆ เช่น โทรจัน ฟิชชิง และแอปสปายแวร์ และเราทำการอัปเดตและเพิ่มหมวดหมู่ใหม่อยู่เรื่อยๆ
แม้ว่ามัลแวร์จะมีหลายประเภทและมีการทำงานที่ต่างกัน แต่โดยทั่วไปแล้วมักมีวัตถุประสงค์อย่างใดอย่างหนึ่งต่อไปนี้
- ทำให้เกิดช่องโหว่ในความสมบูรณ์ของอุปกรณ์ของผู้ใช้
- เข้าควบคุมอุปกรณ์ของผู้ใช้
- เปิดใช้การดำเนินการที่ควบคุมจากระยะไกลเพื่อให้ผู้โจมตีเข้าถึง ใช้ หรือแสวงหาประโยชน์จากอุปกรณ์ที่ถูกโจมตี
- ส่งข้อมูลส่วนตัวหรือข้อมูลเข้าสู่ระบบออกจากอุปกรณ์โดยไม่มีการเปิดเผยและไม่ได้รับคำยินยอมที่เพียงพอ
- เผยแพร่สแปมหรือคำสั่งจากอุปกรณ์ที่ถูกโจมตีเพื่อสร้างความเสียหายต่ออุปกรณ์หรือเครือข่ายอื่นๆ
- หลอกลวงผู้ใช้
แอป ไบนารี หรือการแก้ไขเฟรมเวิร์กอาจเป็นอันตราย จึงอาจถูกนำไปใช้ในลักษณะที่ประสงค์ร้าย แม้ไม่ได้เจตนาสร้างขึ้นมาให้เป็นอันตราย ซึ่งเป็นเพราะแอป ไบนารี หรือการแก้ไขเฟรมเวิร์กอาจทำงานแปลกไปโดยขึ้นอยู่กับตัวแปรต่างๆ ดังนั้น สิ่งที่เป็นอันตรายต่ออุปกรณ์ Android เครื่องหนึ่งอาจไม่ก่อให้เกิดความเสี่ยงต่ออุปกรณ์ Android อีกเครื่องเลย ตัวอย่างเช่น อุปกรณ์ที่ใช้ Android เวอร์ชันล่าสุดไม่ได้รับผลกระทบจากแอปที่เป็นอันตรายซึ่งใช้ API ที่เลิกใช้งานไปแล้วเพื่อทำพฤติกรรมที่เป็นอันตราย แต่อุปกรณ์ที่ยังใช้ Android เวอร์ชันเก่ามากๆ อยู่อาจมีความเสี่ยง แอป ไบนารี หรือการแก้ไขเฟรมเวิร์กจะได้รับการแจ้งว่าเป็นมัลแวร์หรือแอปที่อาจเป็นอันตรายหากก่อให้เกิดความเสี่ยงต่ออุปกรณ์และผู้ใช้ Android บางส่วนหรือทั้งหมดอย่างชัดเจน
หมวดหมู่มัลแวร์ด้านล่างสะท้อนให้เห็นความเชื่อพื้นฐานของเราที่ว่าผู้ใช้ควรทราบว่ามีการใช้ประโยชน์จากอุปกรณ์ของตนอย่างไร ตลอดจนส่งเสริมระบบนิเวศที่ปลอดภัยซึ่งช่วยให้เกิดเป็นนวัตกรรมที่มีประสิทธิภาพและประสบการณ์ของผู้ใช้ที่เชื่อถือได้
ดูข้อมูลเพิ่มเติมที่ Google Play Protect
ข้อควรพิจารณาที่สำคัญ
| สิ่งที่ควรทำ | สิ่งที่ไม่ควรทำ |
| ตรวจสอบโค้ดทั้งหมดในแอปอย่างละเอียด รวมถึง SDK ของบุคคลที่สาม เพื่อให้แน่ใจว่าโค้ดเหล่านั้นไม่ได้แสดงลักษณะการทำงานที่คล้ายมัลแวร์ เช่น สปายแวร์ โทรจัน หรือฟิชชิง แม้ว่าจะไม่ได้ตั้งใจก็ตาม | ผสานรวมโค้ดที่ละเมิดสิทธิ์ในระดับสูงขึ้นเพื่อทำให้ความสมบูรณ์ของระบบมีช่องโหว่ รูทอุปกรณ์โดยที่ผู้ใช้ไม่ได้รับรู้และให้ความยินยอมโดยชัดแจ้ง หรือใช้เทคนิคมาสก์แวร์เพื่อหลบเลี่ยงการตรวจหาลักษณะการทำงานที่เป็นอันตราย |
| ลองใช้เครื่องมือเพื่อตรวจสอบช่องโหว่ด้านความปลอดภัยหรือประตูหลังที่เปิดใช้การดำเนินการจากระยะไกลที่ไม่พึงประสงค์ | ใช้ SDK ของบุคคลที่สามที่เก็บรวบรวมและส่งข้อมูลส่วนตัวเพื่อการตรวจสอบโดยไม่มีการเปิดเผยข้อมูลและขอความยินยอมจากผู้ใช้ที่เหมาะสม (เช่น สตอล์กเกอร์แวร์) รวมโค้ดที่จะทำให้เกิดการเรียกเก็บเงินที่หลอกลวงซึ่งเกี่ยวข้องกับ SMS, การโทร หรือการฉ้อโกงผ่านค่าธรรมเนียม |
| ตรวจสอบว่า SDK ของบุคคลที่สามไม่ได้เก็บรวบรวมและ/หรือส่งออกข้อมูลผู้ใช้โดยไม่มีฟังก์ชันการทำงานที่เป็นไปตามนโยบายและ/หรือการประกาศแจ้งหรือความยินยอมที่เพียงพอ (สปายแวร์) | ใช้ SDK ของบุคคลที่สามที่ทำการโจมตีแบบปฏิเสธการให้บริการหรือทำหน้าที่เป็นเครื่องมือดาวน์โหลดที่เป็นอันตราย |
| ตรวจสอบว่าแอปของคุณไม่มี SDK ของบุคคลที่สามที่ละเมิดโมเดลสิทธิ์ของ Android โดยได้รับสิทธิ์ในระดับสูงขึ้นผ่านการเข้าถึงข้อมูลอุปกรณ์เพื่อวัตถุประสงค์ที่ไม่ได้เปิดเผย |
ประตูหลัง
สรุปนโยบาย Summary
คุณต้องนำโค้ดที่ทำหน้าที่เป็นประตูหลังออกเพื่อปกป้องผู้ใช้ โดยประตูหลังคือโค้ดที่อำนวยความสะดวกในการดำเนินการไม่พึงประสงค์หรือเป็นอันตรายที่ควบคุมจากระยะไกล โปรดอ่านนโยบายฉบับเต็มเพื่อให้เป็นไปตามข้อกำหนด
โค้ดที่ทำให้มีการดำเนินการไม่พึงประสงค์และอาจเป็นอันตรายที่ควบคุมจากระยะไกลได้ในอุปกรณ์
การดำเนินการเหล่านี้อาจรวมถึงพฤติกรรมที่อาจทำให้แอป ไบนารี หรือการแก้ไขเฟรมเวิร์กเข้าข่ายหมวดหมู่มัลแวร์อื่นๆ หากดำเนินการโดยอัตโนมัติ โดยทั่วไป "ประตูหลัง" เป็นคำที่ใช้อธิบายวิธีที่การดำเนินการที่อาจเป็นอันตรายอาจเกิดขึ้นในอุปกรณ์ จึงไม่สอดคล้องกับหมวดหมู่อย่างการหลอกเรียกเก็บเงินหรือสปายแวร์เชิงพาณิชย์เสียทีเดียว ด้วยเหตุนี้ ในบางสถานการณ์ Google Play Protect จึงถือว่าประตูหลังบางกรณีจัดเป็นช่องโหว่
ข้อควรพิจารณาที่สำคัญ
| สิ่งที่ควรทำ | สิ่งที่ไม่ควรทำ |
| ทดสอบโค้ดของแอปและไลบรารีของบุคคลที่สามทั้งหมดอย่างละเอียดเพื่อหาความสามารถในการควบคุมจากระยะไกลที่ซ่อนอยู่ | ห้ามใส่ฟีเจอร์หรือความสามารถที่ซ่อนไว้ซึ่งอาจถูกนำไปแสวงหาประโยชน์เพื่อทำอันตรายต่อผู้ใช้ |
| รักษาความปลอดภัยให้กับปลายทางการดำเนินการจากระยะไกลทั้งหมดเพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต | ห้ามปรับโค้ดให้ยากต่อการอ่าน (Obfuscate) เพื่อซ่อนฟังก์ชันการเข้าถึงจากระยะไกล |
| ออกแพตช์แก้ไขช่องโหว่ด้านความปลอดภัยที่ทราบในแอปทันที | อย่าละเลยคำเตือนเกี่ยวกับช่องโหว่ที่อาจเกิดขึ้นในทรัพยากร Dependency |
การฉ้อโกงผ่านการเรียกเก็บเงิน
สรุปนโยบาย Summary
คุณต้องลบโค้ดที่หลอกเรียกเก็บเงินจากผู้ใช้โดยไม่ได้รับความยินยอมอย่างชัดแจ้ง เพื่อหลีกเลี่ยงการฉ้อโกงผ่านการเรียกเก็บเงิน ซึ่งรวมถึงการฉ้อโกงผ่าน SMS, การฉ้อโกงผ่านการโทร และการฉ้อโกงผ่านค่าธรรมเนียม ซึ่งหลอกลวงให้ผู้ใช้ชำระเงินหรือสมัครใช้บริการที่ไม่ต้องการ โปรดอ่านนโยบายฉบับเต็มเพื่อให้เป็นไปตามข้อกำหนด
โค้ดที่ตั้งใจหลอกเรียกเก็บเงินผู้ใช้โดยอัตโนมัติ
การฉ้อโกงด้วยการเรียกเก็บเงินผ่านเครือข่ายมือถือแบ่งเป็นการฉ้อโกงผ่าน SMS การฉ้อโกงผ่านการโทร และการฉ้อโกงผ่านค่าธรรมเนียม
การฉ้อโกงผ่าน SMS
โค้ดที่เรียกเก็บเงินจากผู้ใช้เพื่อส่ง SMS พรีเมียมโดยไม่ได้รับคำยินยอม หรือพยายามปิดบังกิจกรรม SMS ด้วยการซ่อนข้อตกลงการเปิดเผยข้อมูลหรือซ่อนข้อความ SMS จากผู้ให้บริการมือถือซึ่งแจ้งให้ผู้ใช้ทราบเรื่องการเรียกเก็บเงินหรือการยืนยันการสมัครใช้บริการ
แม้ว่าในทางเทคนิคแล้วโค้ดบางโค้ดจะเปิดเผยพฤติกรรมการส่ง SMS แต่ก็อาจทำงานในลักษณะอื่นที่เอื้อต่อการฉ้อโกงผ่าน SMS ด้วย เช่น การซ่อนข้อตกลงการเปิดเผยข้อมูลไม่ให้ผู้ใช้เห็นบางส่วน การทำให้ข้อตกลงอ่านไม่ได้ และการใช้เงื่อนไขเพื่อบล็อกข้อความ SMS จากผู้ให้บริการมือถือซึ่งแจ้งให้ผู้ใช้ทราบเรื่องการเรียกเก็บเงินหรือการยืนยันการสมัครใช้บริการ
การฉ้อโกงผ่านการโทร
โค้ดที่เรียกเก็บเงินจากผู้ใช้ด้วยการโทรหาหมายเลขพรีเมียมโดยไม่ได้รับคำยินยอม
การฉ้อโกงผ่านค่าธรรมเนียม
โค้ดที่หลอกให้ผู้ใช้สมัครใช้บริการหรือซื้อเนื้อหาโดยการเรียกเก็บเงินผ่านผู้ให้บริการมือถือ
การฉ้อโกงผ่านค่าธรรมเนียมรวมถึงการเรียกเก็บเงินทุกประเภทยกเว้น SMS แบบพรีเมียมและการโทรหาหมายเลขพรีเมียม เช่น การเรียกเก็บเงินผ่านผู้ให้บริการโดยตรง, โปรโตคอลแอปพลิเคชันไร้สาย (Wireless Application Protocol หรือ WAP) และการโอนสายในเครือข่ายมือถือ การฉ้อโกงผ่าน WAP เป็นการฉ้อโกงผ่านค่าธรรมเนียมที่แพร่หลายที่สุดประเภทหนึ่ง การฉ้อโกงประเภทนี้อาจหลอกให้ผู้ใช้คลิกปุ่มบน WebView ที่โหลดแบบเงียบและมีลักษณะโปร่งใส เมื่อผู้ใช้คลิกปุ่ม ระบบจะเริ่มการสมัครใช้บริการแบบตามรอบ และ SMS หรืออีเมลยืนยันมักจะถูกลักลอบนำออกเพื่อไม่ให้ผู้ใช้สังเกตเห็นธุรกรรมการเงิน
ข้อควรพิจารณาที่สำคัญ
| สิ่งที่ควรทำ | สิ่งที่ไม่ควรทำ |
| ขอความยินยอมที่ชัดแจ้งและไม่คลุมเครือจากผู้ใช้ก่อนเริ่มธุรกรรมทางการเงิน | ห้ามซ่อนหรือปลอมแปลงข้อมูลที่เกี่ยวข้องกับการเรียกเก็บเงินหรือการสมัครใช้บริการ |
| ตรวจสอบว่าการเปิดเผยข้อมูลการเรียกเก็บเงินทั้งหมดมีความชัดเจน โปร่งใส และมองเห็นได้ชัดเจนสำหรับผู้ใช้ | ห้ามใช้มุมมองเว็บแบบซ่อน หรือส่งข้อความ SMS แบบพรีเมียมหรือโทรออกโดยอัตโนมัติโดยไม่ได้รับความยินยอม |
| ส่งการแจ้งเตือนการเรียกเก็บเงินผ่านผู้ให้บริการเครือข่ายมือถือทั้งหมดให้ผู้ใช้ | ห้ามใช้วิธีการต่างๆ เช่น การเรียกเก็บเงินผ่านผู้ให้บริการโดยตรง เพื่อหลอกลวงให้ผู้ใช้สมัครใช้บริการ |
สตอล์กเกอร์แวร์
Google Play ไม่อนุญาตให้แอปติดตามบุคคลอื่นโดยการเก็บรวบรวมและส่งข้อมูลส่วนตัวและข้อมูลที่ละเอียดอ่อนของผู้ใช้ เว้นแต่แอปจะออกแบบและทำการตลาดมาเพื่อให้ผู้ปกครองติดตามดูบุตรหลานหรือผู้บริหารขององค์กรติดตามดูพนักงานแต่ละคนโดยเฉพาะ โดยแอปดังกล่าวจะต้องเป็นไปตามข้อกำหนดที่เข้มงวดทั้งหมด โปรดอ่านนโยบายฉบับเต็มเพื่อให้เป็นไปตามข้อกำหนด
โค้ดที่รวบรวมข้อมูลส่วนตัวหรือข้อมูลที่ละเอียดอ่อนของผู้ใช้จากอุปกรณ์และส่งข้อมูลดังกล่าวไปให้บุคคลที่สาม (องค์กรหรือบุคคลธรรมดาคนอื่น) เพื่อวัตถุประสงค์ในการเฝ้าติดตาม
แอปต้องให้การเปิดเผยข้อมูลอย่างชัดเจนเพียงพอและขอความยินยอมข้อกำหนดของนโยบายข้อมูลผู้ใช้
หลักเกณฑ์สำหรับแอปพลิเคชันเฝ้าติดตาม
แอปเฝ้าติดตามที่เรายอมรับมีเพียงแอปที่ออกแบบและทำการตลาดการเฝ้าติดตามบุคคลอื่นโดยเฉพาะเท่านั้น เช่น สำหรับผู้ปกครองเพื่อใช้ติดตามบุตรหลานหรือสำหรับฝ่ายบริหารขององค์กรเพื่อใช้ติดตามพนักงานแต่ละคน โดยแอปดังกล่าวจะต้องเป็นไปตามข้อกำหนดทั้งหมดที่อธิบายไว้ด้านล่าง คุณต้องไม่ใช้แอปเหล่านี้ในการติดตามบุคคลอื่น (เช่น คู่สมรส) แม้ว่าบุคคลดังกล่าวจะรับทราบและอนุญาต ไม่ว่าจะมีการแสดงการแจ้งเตือนอยู่เรื่อยๆ หรือไม่ก็ตาม แอปเหล่านี้ต้องใช้แฟล็กข้อมูลเมตา IsMonitoringTool ในไฟล์ Manifest เพื่อระบุว่าเป็นแอปเฝ้าติดตาม
แอปเฝ้าติดตามต้องเป็นไปตามข้อกำหนดเหล่านี้
- แอปต้องไม่แสดงตัวว่าเป็นโซลูชันการสอดแนมหรือการเฝ้าระวัง
- แอปต้องไม่ซ่อนหรือปิดบังพฤติกรรมการติดตาม หรือพยายามทำให้ผู้ใช้เข้าใจฟังก์ชันการทำงานดังกล่าวผิดไป
- แอปต้องแสดงให้ผู้ใช้เห็นการแจ้งเตือนตลอดเวลาที่แอปทำงาน และแสดงให้เห็นไอคอนที่บ่งบอกแอปนั้นอย่างชัดเจน
- แอปต้องเปิดเผยฟังก์ชันการเฝ้าติดตามในคำอธิบายของ Google Play Store
- แอปและข้อมูลแอปใน Google Play ต้องไม่ให้วิธีการเปิดใช้งานหรือวิธีการเข้าถึงฟังก์ชันการทำงานที่ละเมิดข้อกำหนดเหล่านี้ เช่น การลิงก์ไปยัง APK ที่ไม่เป็นไปตามข้อกำหนดที่โฮสต์ไว้นอก Google Play
- แอปต้องเป็นไปตามกฎหมายทั้งหมดที่เกี่ยวข้อง คุณต้องรับผิดชอบการพิจารณาความถูกต้องตามกฎหมายของแอปของคุณในประเทศเป้าหมายแต่เพียงผู้เดียว
ข้อควรพิจารณาที่สำคัญ
| สิ่งที่ควรทำ | สิ่งที่ไม่ควรทำ |
| ทำการตลาดแอปของคุณเพื่อใช้ในการจัดการโดยผู้ปกครองหรือองค์กรเท่านั้น | ทำการตลาดแอปเป็นโซลูชันการสอดแนมหรือการเฝ้าระวัง |
ใส่ Flag IsMonitoringTool ในไฟล์ Manifest |
ติดตามผู้ใหญ่คนอื่นๆ รวมถึงคู่สมรส แม้จะได้รับอนุญาตก็ตาม |
| แสดงการแจ้งเตือนตลอดเวลาและไอคอนที่ไม่ซ้ำกันเมื่อทำงาน | ซ่อน ปิดบัง หรือทำให้ผู้ใช้เข้าใจผิดเกี่ยวกับพฤติกรรมการติดตาม |
| เปิดเผยฟังก์ชันการตรวจสอบทั้งหมดในคำอธิบายของ Store | ลิงก์ไปยัง APK ที่ไม่เป็นไปตามข้อกำหนดซึ่งโฮสต์ไว้นอก Google Play |
| ให้การเปิดเผยข้อมูลอย่างชัดเจนเพียงพอและขอความยินยอม | จัดหาวิธีการเปิดใช้งานฟังก์ชันการทำงานที่ละเมิดข้อกำหนดเหล่านี้ |
ปฏิเสธการให้บริการ (DoS)
สรุปนโยบาย Summary
คุณต้องลบโค้ดที่โจมตีระบบอื่นหรือสร้างภาระงานเครือข่ายมากเกินไปโดยที่ผู้ใช้ไม่ทราบ เพื่อปกป้องแอปและระบบอื่นๆ โปรดอ่านนโยบายฉบับเต็มเพื่อให้เป็นไปตามข้อกำหนด
โค้ดที่ทำการโจมตีโดยสร้างภาวะปฏิเสธการให้บริการ (DoS) โดยที่ผู้ใช้ไม่ทราบ หรือเป็นส่วนหนึ่งของการโจมตีแบบ DoS ที่มุ่งเป้าไปยังระบบหรือทรัพยากรอื่นๆ
เช่น กรณีนี้อาจเกิดขึ้นโดยการส่งคำขอ HTTP จำนวนมากเพื่อสร้างภาระงานที่สูงเกินขีดความสามารถของเซิร์ฟเวอร์ระยะไกล
ข้อควรพิจารณาที่สำคัญ
| สิ่งที่ควรทำ | สิ่งที่ไม่ควรทำ |
| ทดสอบโค้ดและ SDK ของบุคคลที่สามอย่างละเอียดเพื่อหาการละเมิดเครือข่าย | ห้ามซ่อนหรือฝังโค้ดที่สร้างการเข้าชมหรือคำขอเครือข่ายจำนวนมาก |
| ตรวจสอบว่าคำขอเครือข่ายทั้งหมดจากแอปของคุณถูกต้องและจำเป็นต่อฟังก์ชันการทำงานของแอป | ห้ามรวมฟังก์ชันการทำงานที่เปิดใช้งานจากระยะไกลเพื่อโจมตีระบบภายนอกได้ |
เครื่องมือดาวน์โหลดที่เป็นอันตราย
สรุปนโยบาย
Google Play ไม่อนุญาต "เครื่องมือดาวน์โหลดที่เป็นอันตราย" ซึ่งเป็นแอปที่ดาวน์โหลดซอฟต์แวร์ไม่พึงประสงค์บนมือถือ (MUwS) อื่นๆ ระบบจะแจ้งว่าแอปเป็นเครื่องมือดาวน์โหลดที่เป็นอันตรายหากเชื่อว่าแอปดังกล่าวออกแบบมาเพื่อแพร่กระจาย MUwS หรือหากพบว่าการดาวน์โหลดอย่างน้อย 5% ของแอปเป็น MUwS นโยบายนี้ไม่มีผลกับเบราว์เซอร์หลักๆ หรือแอปแชร์ไฟล์ ตราบใดที่เบราว์เซอร์และแอปเหล่านั้นดาวน์โหลดซอฟต์แวร์โดยที่ผู้ใช้เป็นผู้เริ่มต้นและให้ความยินยอมอย่างชัดแจ้งเท่านั้น โปรดอ่านนโยบายฉบับเต็มเพื่อให้เป็นไปตามข้อกำหนด
โค้ดที่อาจไม่ได้เป็นอันตรายเองแต่ดาวน์โหลดแอปที่อาจเป็นอันตรายอื่นๆ
วิธีสังเกตว่าโค้ดเป็นเครื่องมือดาวน์โหลดที่เป็นอันตราย มีดังนี้
- มีเหตุผลที่ทำให้เชื่อว่าโค้ดดังกล่าวสร้างขึ้นมาเพื่อเผยแพร่แอปที่อาจเป็นอันตราย และเคยดาวน์โหลดแอปที่อาจเป็นอันตรายหรือมีโค้ดที่ดาวน์โหลดและติดตั้งแอปได้ หรือ
- แอปอย่างน้อย 5% ที่โค้ดดาวน์โหลดมานั้นเป็นแอปที่อาจเป็นอันตราย โดยมีเกณฑ์ขั้นต่ำอยู่ที่การดาวน์โหลดแอปที่สังเกตการณ์ 500 ครั้ง (การดาวน์โหลดแอปที่อาจเป็นอันตรายที่สังเกตการณ์ 25 ครั้ง)
เบราว์เซอร์หลักๆ และแอปแชร์ไฟล์จะไม่ถือเป็นเครื่องมือดาวน์โหลดที่เป็นอันตรายในกรณีต่อไปนี้
- เบราว์เซอร์หรือแอปจะดาวน์โหลดต่อเมื่อมีการโต้ตอบกับผู้ใช้
- ผู้ใช้เริ่มการดาวน์โหลดแอปที่อาจเป็นอันตรายทั้งหมดโดยการให้คำยินยอม
ข้อควรพิจารณาที่สำคัญ
| สิ่งที่ควรทำ | สิ่งที่ไม่ควรทำ |
| ตรวจสอบว่าแอปของคุณไม่มีโค้ดที่แพร่กระจาย MUwS | ห้ามรวมโค้ดใดๆ ที่แพร่กระจาย MUwS ในแอปของคุณ |
| ตรวจสอบการดาวน์โหลดเพื่อให้ต่ำกว่าเกณฑ์ MUwS ที่ 5% | ห้ามให้เกินเกณฑ์ MUwS ที่ 5% (MUwS 25 รายการต่อการดาวน์โหลด 500 ครั้ง) |
| ตรวจสอบว่าผู้ใช้ที่ให้ความยินยอมเป็นผู้เริ่มการดาวน์โหลดแอปทั้งหมด หากวัตถุประสงค์ของแอปคือการดาวน์โหลดไฟล์อื่นๆ (เช่น เบราว์เซอร์หรือการแชร์ไฟล์) | ห้ามใส่ฟังก์ชันการทำงานที่กระตุ้นการดาวน์โหลดแอปโดยไม่มีการโต้ตอบกับผู้ใช้อย่างชัดเจน หากวัตถุประสงค์ของแอปคือการดาวน์โหลดไฟล์อื่นๆ (เช่น เบราว์เซอร์หรือการแชร์ไฟล์) |
ภัยคุกคามซึ่งไม่ส่งผลต่อ Android
โค้ดที่มีภัยคุกคามซึ่งไม่ส่งผลต่อ Android
แอปเหล่านี้ไม่ทำให้เกิดอันตรายต่อผู้ใช้หรืออุปกรณ์ Android แต่มีคอมโพเนนต์ที่อาจเป็นอันตรายต่อแพลตฟอร์มอื่น
ฟิชชิง
สรุปนโยบาย Summaryคุณต้องลบโค้ดที่มีส่วนร่วมกับการฟิชชิงโดยการหลอกขอข้อมูลเข้าสู่ระบบหรือข้อมูลสำหรับการเรียกเก็บเงินของผู้ใช้และส่งข้อมูลดังกล่าวไปยังบุคคลที่สาม โปรดอ่านนโยบายฉบับเต็มเพื่อให้เป็นไปตามข้อกำหนด
โค้ดที่แสร้งว่ามาจากแหล่งที่มาที่เชื่อถือได้ ซึ่งขอข้อมูลเข้าสู่ระบบการตรวจสอบสิทธิ์หรือข้อมูลสำหรับการเรียกเก็บเงินของผู้ใช้และส่งข้อมูลดังกล่าวไปให้บุคคลที่สาม หมวดหมู่นี้รวมถึงโค้ดที่ดักฟังการส่งข้อมูลเข้าสู่ระบบของผู้ใช้ระหว่างการส่ง
เป้าหมายทั่วไปของฟิชชิง ได้แก่ ข้อมูลเข้าสู่ระบบธนาคาร หมายเลขบัตรเครดิต และข้อมูลเข้าสู่ระบบบัญชีออนไลน์สำหรับโซเชียลเน็ตเวิร์กและเกม
ข้อควรพิจารณาที่สำคัญ
| สิ่งที่ควรทำ | สิ่งที่ไม่ควรทำ |
| ใช้ API อย่างเป็นทางการและวิธีการที่ปลอดภัยเพื่อจัดการข้อมูลเข้าสู่ระบบและข้อมูลการชำระเงินของผู้ใช้ | ห้ามแอบอ้างเป็นแหล่งที่มาที่เชื่อถือได้เพื่อหลอกให้ผู้ใช้ให้ข้อมูลส่วนบุคคลหรือข้อมูลทางการเงิน |
| ตรวจสอบว่ามีการส่งข้อมูลผู้ใช้ทั้งหมดอย่างปลอดภัยและบุคคลที่สามอ่านไม่ได้ | ห้ามดักจับหรือเก็บรวบรวมข้อมูลเข้าสู่ระบบหรือข้อมูลที่ละเอียดอ่อนของผู้ใช้โดยไม่ได้รับความยินยอม |
| แจ้งให้ผู้ใช้ทราบอย่างโปร่งใสเกี่ยวกับข้อมูลที่คุณขอและเหตุผลที่ขอ | ห้ามส่งข้อมูลที่มีความละเอียดอ่อนของผู้ใช้ไปยังบุคคลที่สามโดยไม่มีการเปิดเผยข้อมูลต่อผู้ใช้อย่างเหมาะสมและไม่ได้รับความยินยอมอย่างชัดแจ้ง |
การละเมิดด้วยการเพิ่มสิทธิ์ในระดับสูงขึ้น
สรุปนโยบาย Summaryแอปของคุณต้องไม่มีโค้ดที่ได้รับสิทธิ์ในระดับสูงขึ้นหรือทำให้แซนด์บ็อกซ์ความปลอดภัยของ Android ทำงานไม่ได้ เพื่อหลีกเลี่ยงการละเมิดด้วยการเพิ่มสิทธิ์ในระดับสูงขึ้น ซึ่งรวมถึงโค้ดที่ขโมยข้อมูลเข้าสู่ระบบจากแอปอื่นๆ หลบเลี่ยงโมเดลสิทธิ์ของ Android หรือปิดใช้ฟีเจอร์ความปลอดภัยหลัก นอกจากนี้ แอปของคุณต้องเคารพสิทธิ์ของผู้ใช้ในการควบคุมอุปกรณ์ของตนด้วย โปรดอ่านนโยบายฉบับเต็มเพื่อให้เป็นไปตามข้อกำหนด
โค้ดที่ทำให้เกิดความเสี่ยงต่อความสมบูรณ์ของระบบด้วยการทำให้แซนด์บ็อกซ์ของแอปทำงานไม่ได้ การเพิ่มสิทธิ์ในระดับสูงขึ้น ตลอดจนการเปลี่ยนหรือปิดการเข้าถึงฟังก์ชันหลักที่เกี่ยวข้องกับความปลอดภัย
ตัวอย่าง
- แอปที่ละเมิดโมเดลสิทธิ์ของ Android หรือขโมยข้อมูลเข้าสู่ระบบ (เช่น โทเค็น OAuth) จากแอปอื่นๆ
- แอปที่ละเมิดการใช้ฟีเจอร์เพื่อป้องกันไม่ให้มีการถอนการติดตั้งหรือหยุดการทำงานของแอป
- แอปที่ปิดใช้ SELinux
แอปโจมตีเพื่อยกระดับสิทธิ์ที่รูทอุปกรณ์โดยไม่มีการให้สิทธิ์จากผู้ใช้จัดว่าเป็นแอปการรูท
ข้อควรพิจารณาที่สำคัญ
| สิ่งที่ควรทำ | สิ่งที่ไม่ควรทำ |
| พัฒนาโค้ดที่เคารพโมเดลสิทธิ์ของ Android | ห้ามสร้างแอปที่ทำให้เกิดความเสี่ยงต่อระบบด้วยการทำให้แซนด์บ็อกซ์ของแอปทำงานไม่ได้ |
| ออกแบบแอปให้ทำงานได้ด้วยสิทธิ์ของผู้ใช้ทั่วไป | ห้ามเขียนโค้ดที่ป้องกันไม่ให้ผู้ใช้ถอนการติดตั้งแอป |
แรนซัมแวร์
แรนซัมแวร์คือซอฟต์แวร์ที่เป็นอันตรายซึ่งจับอุปกรณ์หรือข้อมูลของผู้ใช้เป็นตัวประกัน โดยเรียกร้องให้ชำระเงินหรือดำเนินการเพื่อคืนค่าการควบคุม คุณต้องไม่ล็อกผู้ใช้ เข้ารหัสข้อมูล หรือป้องกันการถอนการติดตั้ง นโยบายนี้ช่วยปกป้องผู้ใช้จากการขู่กรรโชก โปรดอ่านนโยบายฉบับเต็มเพื่อให้เป็นไปตามข้อกำหนด
โค้ดที่เข้าควบคุมอุปกรณ์หรือข้อมูลในอุปกรณ์บางส่วนหรือในวงกว้างและสั่งให้ผู้ใช้ชำระเงินหรือดำเนินการที่ทำให้สูญเสียการควบคุม
แรนซัมแวร์บางรายการจะเข้ารหัสข้อมูลในอุปกรณ์และเรียกร้องให้ชำระเงินเพื่อถอดรหัสข้อมูล และ/หรือใช้ประโยชน์จากฟีเจอร์ผู้ดูแลระบบของอุปกรณ์เพื่อทำให้ผู้ใช้นำแรมซัมแวร์ดังกล่าวออกไม่ได้ ตัวอย่าง
- การล็อกไม่ให้ผู้ใช้เข้าถึงอุปกรณ์ของตัวเองและเรียกร้องให้จ่ายเงินเพื่อคืนค่าการควบคุมของผู้ใช้
- การเข้ารหัสข้อมูลในอุปกรณ์และเรียกร้องให้ชำระเงินเป็นค่าถอดรหัส
- การใช้ประโยชน์จากฟีเจอร์ของตัวจัดการนโยบายด้านอุปกรณ์และการบล็อกไม่ให้ผู้ใช้นำแรนซัมแวร์ออก
โค้ดที่มาพร้อมกับอุปกรณ์โดยมีวัตถุประสงค์หลักเพื่อจัดการอุปกรณ์ที่ได้รับงบอุดหนุนอาจไม่รวมอยู่ในหมวดหมู่แรนซัมแวร์หากมีคุณสมบัติตรงตามข้อกำหนดสำหรับการล็อกและการจัดการที่ปลอดภัย ตลอดจนข้อกำหนดด้านการเปิดเผยข้อมูลต่อผู้ใช้และการขอคำยินยอมที่เพียงพอ
ข้อควรพิจารณาที่สำคัญ
| สิ่งที่ควรทำ | สิ่งที่ไม่ควรทำ |
| ตรวจสอบว่าโค้ดของแอปไม่มีฟังก์ชันการทำงานของแรนซัมแวร์ที่เป็นอันตราย | ห้ามเข้ารหัสข้อมูลผู้ใช้หรือล็อกไม่ให้ผู้ใช้เข้าถึงอุปกรณ์ของตน |
| ขอความยินยอมที่ชัดแจ้งจากผู้ใช้สำหรับฟีเจอร์การจัดการอุปกรณ์ | ห้ามใช้ฟีเจอร์ผู้ดูแลระบบอุปกรณ์เพื่อบล็อกการถอนการติดตั้ง |
| มอบวิธีที่ชัดเจนและง่ายดายให้ผู้ใช้นำแอปของคุณออก | ห้ามเรียกร้องให้ชำระเงินหรือดำเนินการเพื่อคืนค่าการควบคุมอุปกรณ์ |
การรูท
Google Play อนุญาตการรูทที่ไม่เป็นอันตราย แต่ไม่อนุญาตโค้ดการรูทที่เป็นอันตราย คุณต้องแจ้งให้ผู้ใช้ทราบล่วงหน้าเกี่ยวกับการรูท และตรวจสอบว่าแอปของคุณไม่ได้ดำเนินการที่เป็นอันตรายอื่นๆ เป้าหมายคือเพื่อให้มั่นใจว่าผู้ใช้ยินยอมให้มีการเปลี่ยนแปลงอุปกรณ์ที่มีประสิทธิภาพนี้ และจะไม่ได้รับผลกระทบจากลักษณะการทำงานที่เป็นอันตรายเพิ่มเติม โปรดอ่านนโยบายฉบับเต็มเพื่อให้เป็นไปตามข้อกำหนด
โค้ดที่รูทอุปกรณ์
โค้ดการรูทที่ไม่เป็นอันตรายและเป็นอันตรายนั้นแตกต่างกัน เช่น แอปการรูทที่ไม่เป็นอันตรายจะแจ้งให้ผู้ใช้ทราบล่วงหน้าว่าจะรูทอุปกรณ์ และจะไม่ดำเนินการอื่นใดที่อาจเป็นอันตรายตามหมวดหมู่แอปที่อาจเป็นอันตราย
แอปการรูทที่เป็นอันตรายจะไม่แจ้งผู้ใช้ว่าจะรูทอุปกรณ์ หรือแจ้งผู้ใช้เกี่ยวกับการรูทล่วงหน้าแต่ก็ดำเนินการอื่นๆ ตามหมวดหมู่แอปที่อาจเป็นอันตรายด้วย
ข้อควรพิจารณาที่สำคัญ
| สิ่งที่ควรทำ | สิ่งที่ไม่ควรทำ |
| แจ้งให้ผู้ใช้ทราบล่วงหน้าว่าแอปของคุณจะรูทอุปกรณ์ | ห้ามรูทอุปกรณ์โดยไม่แจ้งให้ผู้ใช้ทราบ |
| ขอความยินยอมอย่างชัดแจ้งจากผู้ใช้ก่อนรูท | ห้ามดำเนินการที่เป็นอันตรายอื่นๆ ในแอปการรูท |
| ยืนยันว่าโค้ดของแอปไม่มีลักษณะการทำงานที่เป็นอันตรายอื่นๆ | ห้ามใช้โค้ดการรูทเพื่อซ่อนฟังก์ชันการทำงานที่เป็นอันตรายอื่นๆ |
สแปม
สปายแวร์
สรุปนโยบาย Summary
Google Play ห้ามมิให้เก็บรวบรวมข้อมูลผู้ใช้หรือข้อมูลอุปกรณ์ในลักษณะที่เป็นอันตรายหรือแชร์ข้อมูลดังกล่าว ทั้งการขอความยินยอมจากผู้ใช้ การเปิดเผย การเก็บรวบรวม และการแชร์ข้อมูลต้องสอดคล้องกับฟังก์ชันการทำงานที่เป็นไปตามนโยบาย โปรดอ่านนโยบายฉบับเต็มเพื่อให้เป็นไปตามข้อกำหนด
สปายแวร์คือแอปพลิเคชัน โค้ด หรือลักษณะการทำงานที่เป็นอันตราย ซึ่งเก็บรวบรวม ขโมย หรือแชร์ข้อมูลผู้ใช้หรือข้อมูลอุปกรณ์ที่ไม่เกี่ยวข้องกับฟังก์ชันการทำงานที่เป็นไปตามนโยบาย
โค้ดหรือลักษณะการทำงานที่เป็นอันตรายซึ่งอาจจัดว่าเป็นการสอดแนมผู้ใช้หรือขโมยข้อมูลโดยไม่มีการประกาศแจ้งหรือการขอความยินยอมที่เพียงพอยังถือว่าเป็นสปายแวร์ด้วย
ตัวอย่างเช่น การละเมิดด้วยสปายแวร์รวมถึงแต่ไม่จำกัดเพียงการดำเนินการต่อไปนี้
- การบันทึกเสียงหรือการบันทึกการโทรของโทรศัพท์
- การขโมยข้อมูลแอป
- แอปที่มีโค้ดที่เป็นอันตรายของบุคคลที่สาม (ตัวอย่างเช่น SDK) ซึ่งส่งผ่านข้อมูลจากอุปกรณ์ในลักษณะที่ผู้ใช้ไม่คาดคิดและ/หรือไม่มีการประกาศแจ้งหรือการขอความยินยอมจากผู้ใช้ที่เพียงพอ
แอปทั้งหมดต้องเป็นไปตามนโยบายโปรแกรมสำหรับนักพัฒนาแอป Google Play ทั้งหมด ซึ่งรวมถึงนโยบายด้านข้อมูลผู้ใช้และข้อมูลอุปกรณ์ เช่น ซอฟต์แวร์ไม่พึงประสงค์บนอุปกรณ์เคลื่อนที่, ข้อมูลผู้ใช้, สิทธิ์และ API ที่เข้าถึงข้อมูลที่ละเอียดอ่อน และข้อกำหนดของ SDK
ข้อควรพิจารณาที่สำคัญ
| สิ่งที่ควรทำ | สิ่งที่ไม่ควรทำ |
| แจ้งให้ทราบอย่างชัดเจนและขอความยินยอมอย่างชัดแจ้งจากผู้ใช้ก่อนการเก็บรวบรวมหรือส่งข้อมูล | อนุญาตให้ SDK ของบุคคลที่สามในแอปบันทึกเสียง การโทร หรือรับข้อมูลแอปโดยไม่ได้รับความยินยอมของผู้ใช้อย่างชัดแจ้งและไม่มีฟังก์ชันการทำงานที่เป็นไปตามนโยบาย |
| ใช้การบันทึกและการตรวจสอบที่ครอบคลุมสำหรับการเข้าถึงและการส่งข้อมูลของ SDK ของบุคคลที่สามทั้งหมดเพื่อตรวจหาและจัดการการขโมยข้อมูลที่ไม่ได้รับอนุญาต | มีส่วนร่วมในการเก็บรวบรวมข้อมูลที่ซ่อนอยู่ หรือเก็บรวบรวมข้อมูลมากกว่าที่แอปต้องการสำหรับฟังก์ชันที่ระบุ |
| ตรวจสอบว่า SDK ที่ผสานรวมในแอปของคุณเก็บรวบรวมเฉพาะข้อมูลที่จำเป็นขั้นต่ำ และวัตถุประสงค์หรือลักษณะการทำงานของ SDK ไม่ได้ทำให้แอปละเมิดนโยบายของ Google Play | รวม SDK ของบุคคลที่สามไว้ในแอปซึ่งส่งข้อมูลในลักษณะที่ไม่คาดคิดหรือไม่ได้รับความยินยอมที่เหมาะสม |
| คาดเดาว่า SDK ของบุคคลที่สามซึ่งใช้ในการเก็บรวบรวมข้อมูลแอปเป็นไปตามข้อกำหนดโดยที่คุณไม่ได้ตรวจสอบอย่างละเอียด |
โทรจัน
โทรจันคือโค้ดที่มีคอมโพเนนต์ที่เป็นอันตรายซ่อนอยู่ นโยบายนี้ห้ามแอปที่ดำเนินการไม่พึงประสงค์ต่อผู้ใช้โดยที่ผู้ใช้ไม่ทราบ ในฐานะนักพัฒนาแอป คุณต้องตรวจสอบว่าโค้ดของแอปมีความโปร่งใสและไม่มีฟังก์ชันการทำงานที่เป็นอันตรายซ่อนอยู่ โปรดอ่านนโยบายฉบับเต็มเพื่อให้เป็นไปตามข้อกำหนด
โค้ดที่ดูเหมือนว่าจะไม่เป็นอันตราย เช่น เกมที่อ้างว่าเป็นเกมเฉยๆ แต่ดำเนินการในสิ่งที่ไม่พึงประสงค์กับผู้ใช้
การจำแนกประเภทโค้ดในกลุ่มนี้มักกระทำควบคู่ไปกับหมวดหมู่แอปที่อาจเป็นอันตรายอื่นๆ โทรจันมีคอมโพเนนต์ที่ไม่เป็นอันตรายและคอมโพเนนต์ที่เป็นอันตรายซ่อนอยู่ ตัวอย่างเช่น เกมที่ส่งข้อความ SMS แบบพรีเมียมจากอุปกรณ์ของผู้ใช้ในเบื้องหลังโดยที่ผู้ใช้ไม่ทราบ
ข้อควรพิจารณาที่สำคัญ
| สิ่งที่ควรทำ | สิ่งที่ไม่ควรทำ |
| ตรวจสอบว่าโค้ดของแอปมีความโปร่งใสและเป็นไปตามวัตถุประสงค์ที่ระบุไว้ | ห้ามซ่อนฟังก์ชันการทำงานที่เป็นอันตรายไว้ในแอปที่ดูเหมือนไม่มีพิษมีภัย |
| ยืนยันว่าได้เปิดเผยฟังก์ชันการทำงานของแอปทั้งหมดต่อผู้ใช้แล้ว | ห้ามดำเนินการในเบื้องหลังโดยที่ผู้ใช้ไม่ทราบและไม่ได้ให้ความยินยอมอย่างชัดเจน |
| ตรวจสอบว่า SDK ของบุคคลที่สามที่รวมไว้มีความปลอดภัยและไม่มีลักษณะการทำงานที่ซ่อนอยู่ | ห้ามสื่อให้เข้าใจผิดเกี่ยวกับวัตถุประสงค์ของแอปเพื่อหลอกลวงผู้ใช้ |
หมายเหตุเกี่ยวกับแอปพิเศษ
หาก Google Play Protect มีข้อมูลไม่เพียงพอที่จะยืนยันความปลอดภัยของแอปใหม่ ระบบอาจจัดประเภทแอปเป็น "พบไม่บ่อย" สถานะนี้ไม่ได้หมายความว่าแอปของคุณเป็นอันตราย แต่หมายความว่าแอปต้องได้รับการตรวจสอบเพิ่มเติม โปรดอ่านนโยบายฉบับเต็มเพื่อให้เป็นไปตามข้อกำหนด
ข้อควรพิจารณาที่สำคัญ
| สิ่งที่ควรทำ | สิ่งที่ไม่ควรทำ |
| ระบุข้อมูลที่ครบถ้วนและถูกต้องในข้อมูลแอป | ห้ามซ่อนฟังก์ชันการทำงานหรือใช้โค้ดที่ปรับให้ยากต่อการอ่าน (Obfuscate) |
| ตรวจสอบว่าโค้ดของแอปสะอาดและมีเอกสารประกอบครบถ้วนสำหรับการตรวจสอบ | ห้ามใช้ไลบรารีของบุคคลที่สามที่ไม่ได้รับการยืนยัน |
หมายเหตุเกี่ยวกับหมวดหมู่ประตูหลัง
ประตูหลังคือโค้ดที่ทำให้เกิดพฤติกรรมที่เป็นอันตราย หากใช้การโหลดโค้ดแบบไดนามิกเพื่อดำเนินการที่เป็นอันตราย แอปของคุณจะละเมิดนโยบาย คุณต้องตรวจสอบว่าโค้ดของแอปไม่ได้เปิดใช้ฟังก์ชันการทำงานที่เป็นอันตรายซึ่งซ่อนอยู่ หากพบช่องโหว่ที่ไม่มีเจตนามุ่งร้าย ระบบจะขอให้คุณออกแพตช์แก้ไขช่องโหว่นั้น โปรดอ่านนโยบายฉบับเต็มเพื่อให้เป็นไปตามข้อกำหนด
การแยกประเภทหมวดหมู่มัลแวร์ประตูหลังจะอาศัยวิธีการดำเนินการของโค้ด เงื่อนไขที่จำเป็นสำหรับการแยกประเภทโค้ดว่าเป็นประตูหลังคือการที่โค้ดทำให้เกิดพฤติกรรมที่จะทำให้โค้ดดังกล่าวเข้าข่ายหมวดหมู่มัลแวร์อื่นๆ หากดำเนินการโดยอัตโนมัติ ตัวอย่างเช่น หากแอปอนุญาตการโหลดโค้ดแบบไดนามิกและโค้ดที่โหลดแบบไดนามิกทำการดึงข้อมูล SMS จะถือว่าโค้ดดังกล่าวเป็นมัลแวร์ประตูหลัง
อย่างไรก็ตาม หากแอปอนุญาตการดำเนินการโค้ดโดยไม่มีกฎเกณฑ์ และเราไม่มีเหตุผลที่ทำให้เชื่อว่าโค้ดนี้เพิ่มเข้ามาเพื่อดำเนินการพฤติกรรมที่เป็นอันตราย เราจะถือว่าแอปนี้มีช่องโหว่แทนที่จะเป็นมัลแวร์ประตูหลัง และจะขอให้นักพัฒนาซอฟต์แวร์แพตช์แอป
ข้อควรพิจารณาที่สำคัญ
| สิ่งที่ควรทำ | สิ่งที่ไม่ควรทำ |
| ทดสอบโค้ดที่เปิดใช้การดำเนินการแบบไดนามิกอย่างละเอียด | ห้ามใช้การโหลดโค้ดแบบไดนามิกเพื่อดำเนินการการกระทำที่เป็นอันตรายและซ่อนไว้ |
| ตรวจสอบว่าโค้ดของแอปไม่มีช่องโหว่ที่อาจถูกนำไปแสวงหาประโยชน์ | ไม่อนุญาตให้มีการดำเนินการโค้ดโดยไม่มีกฎเกณฑ์ซึ่งไม่ผ่านการตรวจสอบความปลอดภัยอย่างรอบคอบ |
| รีบใช้แพตช์แก้ไขช่องโหว่ด้านความปลอดภัยที่พบในแอป | ห้ามใช้ไลบรารีของบุคคลที่สามที่ยังไม่ผ่านการยืนยันซึ่งอาจเปิดใช้ประตูหลัง |
ริสก์แวร์
ริสก์แวร์คือแอปที่ใช้เทคนิคการหลีกเลี่ยงเพื่อซ่อนฟังก์ชันการทำงานที่เป็นอันตราย โดยจะมาสก์ตนเองเป็นแอปที่ถูกต้องตามกฎหมาย และใช้วิธีการต่างๆ เช่น การปรับให้ยากต่อการอ่าน (Obfuscation) หรือการโหลดโค้ดแบบไดนามิกเพื่อเปิดเผยเนื้อหาที่เป็นอันตรายในภายหลัง คุณต้องดูแลให้แอปมีความโปร่งใสและไม่ใช้เทคนิคดังกล่าวเพื่อหลอกลวงผู้ตรวจสอบหรือผู้ใช้ โปรดอ่านนโยบายฉบับเต็มเพื่อให้เป็นไปตามข้อกำหนด
แอปพลิเคชันที่ใช้เทคนิคการหลีกเลี่ยงที่หลากหลายเพื่อให้บริการฟังก์ชันการทำงานปลอมหรือการทำงานที่แตกต่างออกไปของแอปพลิเคชันแก่ผู้ใช้ แอปเหล่านี้แฝงตัวมาในรูปแบบของแอปพลิเคชันหรือเกมที่ถูกต้องตามกฎหมายเพื่อให้ดูไร้พิษภัยในสายตาของ App Store และผู้ใช้ และใช้เทคนิคอย่างเช่นการปรับให้ยากต่อการอ่าน (Obfuscation), การโหลดโค้ดแบบไดนามิก หรือการปิดบังหน้าเว็บจริงเพื่อเปิดเผยเนื้อหาที่อาจเป็นอันตราย
ริสก์แวร์คล้ายคลึงกันกับแอปที่อาจเป็นอันตรายหมวดหมู่อื่นๆ โดยเฉพาะอย่างยิ่งโทรจัน โดยมีความแตกต่างหลักอยู่ในเทคนิคที่ใช้ปรับกิจกรรมที่เป็นอันตรายให้ยากต่อการอ่าน (Obfuscate)
ข้อควรพิจารณาที่สำคัญ
| สิ่งที่ควรทำ | สิ่งที่ไม่ควรทำ |
| ตรวจสอบว่าโค้ดของแอปชัดเจนและตรวจสอบได้ง่าย | ห้ามใช้การปรับให้ยากต่อการอ่าน (Obfuscation) หรือการปิดบังเพื่อซ่อนฟังก์ชันการทำงาน |
| มีความโปร่งใสเกี่ยวกับฟังก์ชันทั้งหมดของแอป | ห้ามใช้การโหลดโค้ดแบบไดนามิกเพื่อแสดงเนื้อหาที่เป็นอันตราย |
| เปิดเผยฟังก์ชันการทำงานทั้งหมดในคำอธิบายแอป | ห้ามทำให้ลักษณะการทำงานของแอปแตกต่างกันสำหรับผู้ตรวจสอบและผู้ใช้ทั่วไป |
Help us improve this policy article by taking a 2-minute survey.