免責事項:政策摘要和考量重點僅為概述;請隨時參閱政策全文,確保遵循法規。如有衝突,應以政策全文為優先。
為維持安全的 Android 生態系統,Google Play 禁止任何惡意程式碼,包括整合到應用程式中且可能讓使用者、其資料或裝置面臨風險的第三方 SDK。請詳閱完整政策內容,確保遵守規定。
惡意軟體是指任何可能將使用者、使用者的資料或裝置暴露在風險中的程式碼。惡意軟體包括但不限於可能有害的應用程式 (PHA)、二進位檔或架構修改內容。目前已知有木馬程式、網路釣魚、間諜軟體應用程式等類別,而我們還在持續更新及增加新類別。
雖然惡意軟體有多種類型和不同的破壞能力,但目的通常不出以下幾項:
- 破壞使用者裝置的完整性。
- 取得使用者裝置的控制權。
- 讓攻擊者能夠透過遙控操作,存取、使用或以其他方式利用受感染的裝置。
- 在未充分告知使用者並徵得同意的情況下,將裝置上的個人資料或憑證傳輸至他處。
- 從受感染的裝置散布垃圾內容或指令,影響其他裝置或網路。
- 詐騙使用者。
應用程式、二進位檔或架構修改內容,即使原始目的並無惡意,也可能有害並因此產生惡意行為。這是因為應用程式、二進位檔或架構修改內容可能會因為各種變數,產生迥異的運作情況。所以,有些應用程式可能對某個 Android 裝置有害,但對另一個 Android 裝置卻不會造成任何風險。舉例來說,假設有害應用程式利用已淘汰的 API 進行惡意行為,這對搭載 Android 最新版本的裝置不會產生任何影響;但對搭載 Android 較舊版本的裝置可能會造成危害。如果應用程式、二進位檔或架構修改內容對部分或所有 Android 裝置和使用者造成明確風險,就會被舉報為惡意軟體或 PHA。
下方的惡意軟體類別反映出我們的基本理念,也就是使用者應該瞭解自己裝置的運用情形,並且推廣安全的生態系統,打造健全的創新流程和穩當的使用者體驗。
詳情請前往 Google Play 安全防護網站。
考量重點
| 正確做法 | 錯誤做法 |
| 徹底檢查應用程式中的所有程式碼 (包括第三方 SDK),確保不會出現類似間諜軟體、木馬程式或網路釣魚等惡意行為,不論有意或無意。 | 加入涉及以下行為的程式碼:濫用進階權限,破壞系統完整性;未經使用者明確同意,暗自取得裝置 Root 權限;採用偽裝軟體技術,規避惡意行為偵測。 |
| 考慮使用工具,查出安全漏洞或後門程式,防止有心人士從遠端執行不必要的作業。 | 出於監控目的,使用第三方 SDK 收集及傳輸個人資料,但未充分告知使用者或徵得同意 (即追蹤軟體)。加入涉及詐騙收費行為的程式碼,包括簡訊、通話或話費詐欺。 |
| 確保第三方 SDK 僅在提供合規功能時,才會收集和/或擷取使用者資料,且/或需充分告知使用者或徵得同意,否則即屬間諜軟體行為。 | 使用第三方 SDK 執行阻斷服務攻擊或充當惡意下載工具。 |
| 確保應用程式並未包含存在以下情況的第三方 SDK:透過存取裝置資料取得進階權限,並用於未經揭露的用途,違反 Android 權限模型。 |
後門
為保護使用者,您必須移除任何後門程式碼,也就是會執行不當或有害遙控操作的程式碼。請詳閱完整政策內容,確保遵守規定。
程式碼讓有心人士以遙控的方式,對裝置執行不必要且可能有害的作業。
這類作業可能包括在未經使用者同意即自動執行後,會導致應用程式、二進位檔或架構修改內容被歸為其他惡意軟體類別的行為。一般來說,「後門」是指會導致裝置上發生可能有害作業的情況,並不完全符合帳單詐欺或商業間諜軟體等惡意行為的定義。因此,在某些情況下,Google Play 安全防護會將某幾種後門視為安全漏洞。
考量重點
| 正確做法 | 錯誤做法 |
| 徹底測試應用程式的程式碼,以及所有第三方資料庫,尋找是否有隱藏遙控功能。 | 加入可能用來傷害使用者的隱藏功能。 |
| 防止他人以未經授權方式存取任何遠端執行端點。 | 模糊化程式碼,藉此隱藏遠端存取功能。 |
| 立即修補已知應用程式安全漏洞。 | 忽視依附元件可能產生安全漏洞的警告。 |
帳單詐欺
為避免帳單詐欺,如有程式碼會在未獲使用者明確同意的情況下,就以欺騙方式收費,請務必移除,包括透過簡訊、電話和話費詐欺,誘騙使用者支付不必要的款項或訂閱不想要的內容。請詳閱完整政策內容,確保遵守規定。
程式碼會以蓄意欺瞞的方式自動向使用者收費。
行動帳單詐欺分為簡訊詐欺、電話詐欺和話費詐欺三種形式。
簡訊詐欺
程式碼未經使用者同意就擅自傳送付費簡訊,藉此向使用者收費;或隱藏揭露協議、電信業者發送的收費通知簡訊或確認訂閱簡訊,企圖掩蓋簡訊活動。
有些程式碼即使在技術上會揭露簡訊傳送行為,但仍會帶入其他縱容簡訊詐欺行為的操作。這包括對使用者隱藏揭露協議的部分內容、使揭露協議內容無法閱讀,以及依據特定條件阻絕電信業者向使用者發送收費通知簡訊或確認訂閱簡訊。
電話詐欺
程式碼會在未經使用者同意的情況下擅自撥打付費電話,藉此向使用者收費。
話費詐欺
程式碼會透過電信費帳單誘騙使用者訂閱或購買內容。
話費詐欺涵蓋各種收費行為 (付費簡訊和付費電話除外),例如電信代扣、無線應用程式通訊協定 (WAP) 和手機通話額度轉移。WAP 詐欺是最猖獗的一種話費詐欺,手法包括誘騙使用者點擊以透明隱形 WebView 形式載入的按鈕。一旦使用者採取相應動作,就會啟動週期性訂閱,而確認簡訊或電子郵件通常會遭到攔截,以防使用者發現這類金融交易。
考量重點
| 正確做法 | 錯誤做法 |
| 須明確獲得使用者清楚許可,才能進行任何金融交易。 | 隱藏或掩蓋任何與收費或訂閱相關的資訊。 |
| 確認所有帳單揭露事項均清楚明瞭、公開透明,並顯示在使用者可輕易看見的地方。 | 使用隱藏的網頁檢視畫面,或未經同意就自動傳送付費簡訊或撥打電話。 |
| 確實將所有電信代扣通知傳送給使用者。 | 使用電信代扣等方式誘騙使用者訂閱內容。 |
追蹤軟體
除非應用程式在完全遵守嚴格規範的情況下,僅供家長用來監控兒童,或讓企業管理部門監控員工,並如實宣傳該等監控功能,否則 Google Play 禁止應用程式透過收集和傳輸使用者的個人與私密資料,達到監控他人目的。請詳閱完整政策內容,確保遵守規定。
出於監控目的,從裝置中蒐集使用者的個人或機密資料,並將資料傳輸至第三方 (企業或其他個人) 的程式碼。
應用程式必須提供充分明確的醒目揭露事項,並依使用者資料政策規定徵求同意。
監控應用程式規範
專為監控其他個人而設計及行銷的應用程式 (例如協助家長監控孩子的應用程式,或是用於監控個別員工的企業管理應用程式) 必須完全符合下述規定才能上架,而且不得用於追蹤其他使用者 (例如配偶),不論對方是否知情或同意,抑或應用程式是否會向對方顯示長駐通知。這類應用程式必須在資訊清單檔案中使用 IsMonitoringTool 中繼資料標記,適當地標示本身為監控應用程式。
監控應用程式必須符合以下規定:
- 應用程式不得做為間諜或祕密監視用途的工具。
- 應用程式不得隱藏或偽裝追蹤行為,也不得使用誤導手法欺騙裝置使用者,意圖隱瞞這項功能。
- 應用程式必須提供專屬識別圖示,而且在運作期間一律必須向使用者顯示常駐通知。
- 應用程式必須在 Google Play 商店說明中揭露監控或追蹤功能。
- 應用程式以及 Google Play 上的應用程式資訊不得提供任何方式來啟用或存取違反上述條款的功能 (例如連結到 Google Play 商店以外的違規 APK)。
- 應用程式必須符合任何適用法律。您必須自行負責確認應用程式在目標地區的合法性。
考量重點
| 正確做法 | 錯誤做法 |
| 在宣傳素材說明應用程式僅供家長或企業管理使用。 | 宣傳可將應用程式用於監視或監控。 |
在資訊清單加上 IsMonitoringTool 標記。 |
追蹤配偶等其他成年使用者 (即使對方允許也不例外)。 |
| 在執行時持續顯示通知和專用圖示。 | 隱藏、偽裝,或誤導使用者,使其難以發現追蹤行為。 |
| 在商店說明揭露所有監控功能。 | 連結到 Google Play 以外的違規 APK。 |
| 提供合宜的醒目揭露事項,並獲得同意。 | 讓使用者得以啟動違反本處條款的功能。 |
阻斷服務 (DoS)
為保護應用程式和其他系統,如果程式碼會在使用者不知情的情況下,攻擊其他系統或產生超量網路負載,請務必移除。請詳閱完整政策內容,確保遵守規定。
程式碼會在使用者不知情的情況下執行阻斷服務 (DoS) 攻擊,或是涉及對其他系統和資源進行分散式 DoS 攻擊。
舉例來說,藉由傳送大量 HTTP 要求導致遠端伺服器負載超量,就屬於這種情況。
考量重點
| 正確做法 | 錯誤做法 |
| 徹底測試程式碼和第三方 SDK,確認沒有網路濫用問題。 | 隱藏或嵌入會產生大量流量或網路要求的程式碼。 |
| 確認應用程式送出的所有網路要求均合理正常,且皆為執行功能所需。 | 加入可由遠端啟動的功能,藉此攻擊外部系統。 |
惡意下載工具
Google Play 禁止「惡意下載工具」,也就是會下載其他行動垃圾軟體 (MUwS) 的應用程式。如果我們認為應用程式是設計用來散播 MUwS,或至少有 5% 的下載項目是 MUwS,就會將應用程式標記為惡意下載工具。至於主流瀏覽器或檔案分享應用程式,倘若只在使用者明確同意並主動發起時下載軟體,就不適用這項政策。請詳閱完整政策內容,確保遵守規定。
程式碼本身不會造成危害,但會下載其他 PHA。
程式碼如果符合下列條件,就可能是惡意下載工具:
- 我們有理由相信,這類程式碼是有心人士為了散播 PHA 而編寫,其中不是含有已經下載的 PHA,就是含有可能下載並安裝應用程式的程式碼;或者
- 據觀察最少下載了 500 個應用程式,而且其中至少有 5% 是 PHA (相當於下載 25 個 PHA)。
我們不會將符合下列條件的主流瀏覽器和檔案分享應用程式視為惡意下載工具:
- 只在使用者互動時下載內容;而且
- 所有 PHA 下載作業都是在使用者同意後才執行。
考量重點
| 正確做法 | 錯誤做法 |
| 確保應用程式不含任何會散布 MUwS (行動垃圾軟體) 的程式碼。 | 在應用程式中加入任何會散布 MUwS 的程式碼。 |
| 監控下載狀況,確保 MUwS 遠低於 5% 的上限。 | 超過 5% 的 MUwS 上限 (每 500 次下載 25 個 MUwS)。 |
| 在使用者同意並親自操作後,才讓應用程式開始下載作業 (如果應用程式的用途是下載其他檔案,例如瀏覽器或檔案分享程式)。 | 加入會在使用者並未明確互動時,就擅自啟動應用程式下載作業的功能 (如果應用程式的用途是下載其他檔案,例如瀏覽器或檔案分享程式)。 |
對 Android 以外的平台有威脅
程式碼對 Android 以外的平台有威脅。
這類應用程式不會對 Android 使用者或裝置造成危害,但包含對其他平台可能有害的元件。
網路詐騙
您須移除任何參與網路釣魚行徑的程式碼,也就是誘騙使用者提供憑證或帳單資訊,並將該等資訊傳送給第三方。請詳閱完整政策內容,確保遵守規定。
程式碼會假裝來自可信任的來源,要求取得使用者驗證憑證或帳單資訊,然後將這些資料傳送給第三方。如果程式碼會攔截傳輸中的使用者憑證,也屬於這個類別。
常見的網路詐騙目標包括銀行憑證、信用卡號碼,以及社交網路和遊戲的線上帳戶憑證。
考量重點
| 正確做法 | 錯誤做法 |
| 使用官方 API 和安全方法處理使用者憑證與付款資訊。 | 冒充值得信任的來源,誘騙使用者提供個人或金融資料。 |
| 確保所有使用者資料都以安全方式傳輸,且第三方無法讀取。 | 未經使用者同意,即攔截或收集其憑證或私密資訊。 |
| 公開向使用者說明要求資料內容和原因。 | 未適當向使用者揭露並取得對方明確同意,就將其私密資訊傳送給第三方。 |
進階權限濫用行為
為避免發生濫用進階權限的違規行為,應用程式不得含有能獲取進階權限,或破壞 Android 安全沙箱的程式碼,包括以程式碼竊取其他應用程式的憑證、規避 Android 權限模型,或停用核心安全防護功能。另外,應用程式須遵從使用者的裝置控制設定。請詳閱完整政策內容,確保遵守規定。
程式碼會破壞應用程式沙箱、取得進階權限,或是變更或停用安全性相關核心功能的存取權,藉此影響系統的完整性。
相關示例包括:
- 應用程式違反 Android 權限模型,或從其他應用程式竊取憑證 (例如 OAuth 憑證)。
- 應用程式濫用功能,讓使用者無法將其解除安裝或停止。
- 應用程式停用 SELinux。
未經使用者授權即取得裝置 Root 權限的權限提升應用程式,會被歸為取得 Root 權限的應用程式。
考量重點
| 正確做法 | 錯誤做法 |
| 開發遵守 Android 權限模型規範的程式碼。 | 建立會破壞應用程式沙箱的應用程式,藉此侵害系統完整性。 |
| 設計符合標準使用者權限的應用程式功能。 | 編寫會阻止使用者解除安裝應用程式的程式碼。 |
勒索軟體
勒索軟體是一種惡意軟體,藉由綁架使用者的裝置或資料,要求對方須付款或操作,才能恢復控制權。您不得加密資料、讓使用者無法操作,或阻止使用者解除安裝內容。這項政策可保護使用者不被有心人士勒索。請詳閱完整政策內容,確保遵守規定。
程式碼會取得裝置或裝置上資料的部分或廣泛控管權,並要求使用者付款或執行特定動作以取回控管權。
部分勒索軟體會將裝置上的資料加密,並要求使用者付款以解密資料,以及/或者利用裝置管理員功能,讓一般使用者無法將其移除。相關示例包括:
- 鎖定使用者的裝置,並要求使用者付款以取回控管權。
- 加密裝置上的資料,並聲稱使用者須付款才可解密資料。
- 利用裝置政策管理員功能,禁止使用者將其移除。
針對隨裝置發布的程式碼,如果其主要用途是要分擔裝置管理工作,只要確實符合安全鎖定與管理的要求,並已向使用者充分揭露相關資訊及徵得同意,就不會被歸為勒索軟體。
考量重點
| 正確做法 | 錯誤做法 |
| 檢查應用程式的程式碼,確認不含任何惡意勒索軟體功能。 | 鎖定使用者的裝置,使他們無法操作,或是加密使用者資料。 |
| 先獲得使用者明確同意,才啟動任何裝置管理功能。 | 透過裝置管理員功能,阻止使用者解除安裝應用程式。 |
| 提供清楚明瞭的說明,教使用者如何移除應用程式。 | 要求使用者藉由付款或操作恢復裝置控制權。 |
取得 Root 權限
Google Play 允許程式碼以非惡意方式取得 Root 權限,但若採取惡意手法,則一律禁止。您須事先向使用者說明取得 Root 權限事宜,並確保應用程式不會進行其他任何有害行動,這是為了確保使用者同意變更這項影響較大的裝置設定,並避免使用者遭受其他惡意行為。請詳閱完整政策內容,確保遵守規定。
程式碼會取得裝置的 Root 權限。
用於取得 Root 權限的程式碼有惡意與非惡意之分。舉例來說,非惡意的應用程式會在取得裝置的 Root 權限前事先通知使用者,也不會另外執行符合其他 PHA 類別而可能有害的動作。
惡意應用程式則不會在取得裝置的 Root 權限前事先通知使用者,或是會在事先通知使用者後另外執行符合其他 PHA 類別的動作。
考量重點
| 正確做法 | 錯誤做法 |
| 事先告知使用者,說明應用程式會取得裝置 Root 權限。 | 在未告知使用者的情況下取得裝置 Root 權限。 |
| 先取得使用者明確同意,才取得 Root 權限。 | 在應用程式取得 Root 權限後,執行其他有害動作。 |
| 確認應用程式的程式碼不會進行其他任何惡意行為。 | 運用程式碼取得 Root 權限,藉此隱藏其他惡意功能。 |
垃圾內容
間諜軟體
Google Play 禁止惡意收集或分享使用者或裝置資料。無論是否已取得使用者同意或提供揭露聲明,資料收集與分享都必須與符合政策規定的功能相關。請詳閱完整政策內容,確保遵守規定。
間諜軟體是帶有惡意的應用程式、程式碼或行為,會蒐集、竊取或分享使用者/裝置資料,而且這些資料與符合政策規定的功能無關。
若惡意程式碼或行為疑似會監視使用者,或是未充分告知使用者或徵得同意即洩漏資料,亦可視為間諜軟體。
舉例來說,間諜軟體違規行為包括但不限於:
- 錄音或對通話錄音
- 竊取應用程式資料
- 應用程式內含惡意的第三方程式碼 (例如 SDK),會以使用者無法預期的方式,將裝置上的資料傳輸至他處,以及/或是未充分告知使用者或徵得同意
所有應用程式亦須完全遵守《Google Play 開發人員計畫政策》的規定,包括使用者和裝置資料政策,例如行動垃圾軟體、使用者資料、存取私密資訊的權限和 API 及 SDK 規定。
考量重點
| 正確做法 | 錯誤做法 |
| 收集或傳輸任何資料前,須清楚說明該動作,並獲得使用者的明確同意。 | 在未獲得使用者明確同意,且應用程式內部第三方 SDK 功能未遵守政策的情況下,允許該 SDK 錄音、通話,或獲取應用程式資料。 |
| 導入完善記錄和稽核功能,追蹤所有第三方 SDK 存取及傳輸資料事件,藉此偵測與處理未經授權的資料竊取行為。 | 參與以隱藏方式收集資料的行為,或收集應用程式說明功能範圍以外的資料。 |
| 確保應用程式整合的 SDK 僅會收集最低限度的必要資料,並注意收集目的或行為不會導致應用程式違反 Google Play 政策。 | 在應用程式內加入第三方 SDK,以不符預期方式,或在未獲得合宜同意的情況下傳輸資料。 |
| 未經過徹底檢查,就假設應用程式收集資料用的第三方 SDK 符合相關規範。 |
木馬程式
木馬程式是含有隱藏惡意元件的程式碼。本政策禁止應用程式在使用者不知情的情況下,執行違反對方意願的動作。開發人員須確保應用程式使用公開透明的程式碼,且未隱藏任何有害功能。請詳閱完整政策內容,確保遵守規定。
程式碼看起來無害 (例如宣稱純粹是遊戲的遊戲),但會對使用者執行不當動作。
這個類別通常會與其他 PHA 類別併用。木馬程式包含無害的部分和隱藏的有害部分,例如在使用者不知情的情況下,擅自在背景從使用者的裝置傳送付費簡訊的遊戲。
考量重點
| 正確做法 | 錯誤做法 |
| 確認應用程式的程式碼是否公開透明,且功能符合說明用途。 | 在看似無害的應用程式內隱藏惡意功能。 |
| 確認已向使用者揭露所有應用程式功能。 | 未經使用者明確表示知悉且同意,即執行背景動作。 |
| 確認加入的所有第三方 SDK 均安全無虞,且不含隱藏行為。 | 不實陳述應用程式的用途,藉此誘騙使用者。 |
有關不常見應用程式的附註
如果 Google Play 安全防護的資訊不足,無法驗證您的新應用程式是否安全,可能會歸類為「不常見」,這個狀態不代表應用程式有害,而是需要進一步審核。請詳閱完整政策內容,確保遵守規定。
考量重點
| 正確做法 | 錯誤做法 |
| 確保應用程式資訊正確完整。 | 隱藏功能,或模糊化程式碼。 |
| 確認應用程式的程式碼清楚明瞭,並已妥善記錄以供審核。 | 使用未經驗證的第三方資料庫。 |
有關後門類別的附註
後門程式是會出現惡意行為的程式碼。如果應用程式透過動態程式碼載入功能進行有害行為,便視為違規。您須確保應用程式的程式碼不會啟動任何隱藏惡意功能。如果發現安全漏洞,但並非基於惡意動機,系統會要求您修補。請詳閱完整政策內容,確保遵守規定。
後門惡意軟體類別是以程式碼的行為做為歸類依據。只有在所產生的行為經自動執行後,會導致其本身被歸為其他惡意軟體類別的程式碼,才屬於後門惡意軟體。舉例來說,如果應用程式會動態載入程式碼,且動態載入的程式碼會擷取簡訊,我們就會將該應用程式歸為後門惡意軟體。
不過,如果應用程式會任意執行程式碼,且我們沒有任何理由認為執行這個程式碼是為了做出惡意行為,則會將該應用程式判定為有安全漏洞 (而非歸為後門惡意軟體),並要求開發人員進行修補。
考量重點
| 正確做法 | 錯誤做法 |
| 嚴謹測試任何可動態執行的程式碼。 | 透過動態程式碼載入並執行隱藏的惡意動作。 |
| 檢查應用程式的程式碼,確認沒有會遭人利用的安全漏洞。 | 未謹慎檢查安全性,就允許執行任意程式碼。 |
| 及時修補發現的任何應用程式安全漏洞。 | 使用可能產生後門的未驗證第三方資料庫。 |
風險軟體
風險軟體會利用各種規避技術隱藏惡意功能,偽裝成正常應用程式,再運用模糊化或動態程式碼載入等方式挾帶有害內容。您須確保應用程式公開透明,不會利用這類技術欺騙審查人員或使用者。請詳閱完整政策內容,確保遵守規定。
這是指應用程式會透過各種規避技術,向使用者提供虛假或與預期不同的功能。這類應用程式會偽裝成合法的應用程式或遊戲,在應用程式商店中看似對使用者無害,實際上卻利用模糊處理、動態載入程式碼或偽裝等技術,顯示潛在的有害內容。
風險軟體與其他 PHA 類別類似 (特別是木馬程式),主要差別在用於掩蓋惡意活動的技術不同。
考量重點
| 正確做法 | 錯誤做法 |
| 確認應用程式的程式碼是否清楚明瞭,容易審核。 | 藉由模糊化或偽裝方式隱藏功能。 |
| 公開說明所有應用程式功能。 | 透過動態程式碼載入並提供惡意內容。 |
| 在應用程式說明中揭露所有功能。 | 在審查時,讓應用程式做出異於一般使用情境的行為。 |
Help us improve this policy article by taking a 2-minute survey.