Haftungsausschluss: Richtlinienzusammenfassungen und Informationen unter Absätzen zu wichtigen Hinweisen, Faktoren oder Überlegungen dienen lediglich der Übersicht. Zur Einhaltung aller Vorschriften und Bestimmungen lesen Sie immer die vollständige Richtlinie. Bei einem Konflikt hat die vollständige Richtlinie Vorrang.
Richtlinienzusammenfassung Summary
Damit Android eine sichere Umgebung bleibt, verbietet Google Play schädlichen Code (einschließlich in Apps integrierte Drittanbieter-SDKs), durch den Nutzer oder ihre Daten und Geräte gefährdet werden könnten. Bitte lesen Sie die vollständige Richtlinie, um sicherzustellen, dass Sie alle Vorgaben erfüllen.
Malware ist jeglicher Code, der eine Gefahr für Nutzer, ihre Daten und ihre Geräte darstellt. Beispiele sind potenziell schädliche Apps (PSAs), Binärprogramme und Framework-Änderungen, wie z. B. Trojaner, Phishing- oder Spyware-Apps. Diese Kategorien werden von uns regelmäßig aktualisiert und ergänzt.
Malware kann sich hinsichtlich ihrer Art und Funktion zwar unterscheiden, verfolgt aber in der Regel eines der folgenden Ziele:
- Die Integrität des Geräts kompromittieren
- Die Kontrolle über das Gerät übernehmen
- Ferngesteuerte Vorgänge ermöglichen, mit denen Angreifer auf das betroffene Gerät zugreifen, es verwenden oder es anderweitig missbrauchen können
- Personenbezogene Daten oder Anmeldedaten ohne ausreichende Offenlegung oder Zustimmung des Nutzers vom betroffenen Gerät aus versenden
- Spam oder Befehle über das betroffene Gerät verbreiten, um andere Geräte oder Netzwerke zu beeinträchtigen
- Den Nutzer betrügen
Apps, Binärprogramme oder Framework-Änderungen können potenziell schädlich sein und zu böswilligem Verhalten führen, selbst wenn sie nicht zu diesem Zweck erstellt wurden. Der Grund dafür ist, dass verschiedene Faktoren die Funktionsweise von Apps, Binärprogrammen und Framework-Änderungen beeinflussen können. Malware, die für ein Android-Gerät schädlich ist, muss deshalb nicht unbedingt für alle anderen Android-Geräte eine Gefahr darstellen. Schädliche Apps, die für ihr böswilliges Verhalten veraltete APIs verwenden, sind beispielsweise keine Bedrohung für Geräte, auf denen die neueste Version von Android installiert ist, können jedoch ein Risiko für Geräte mit alten Android-Versionen darstellen. Apps, Binärprogramme und Framework-Änderungen werden als Malware oder PSA eingestuft, wenn sie eine klare Gefahr für manche oder alle Android-Geräte und -Nutzer darstellen.
In den folgenden Malwarekategorien spiegelt sich unsere grundlegende Überzeugung wider, dass Nutzer verstehen sollten, wie ihr Gerät verwendet wird. Ziel ist es, eine sichere Umgebung zu fördern, die fortlaufende Innovation ermöglicht und Vertrauen bei Nutzern schafft.
Weitere Informationen finden Sie unter Google Play Protect.
Wichtige Hinweise
| Das sollten Sie tun | Das sollten Sie nicht tun |
| Prüfen Sie sorgfältig den gesamten Code in Ihrer App, einschließlich Drittanbieter-SDKs, um sicherzustellen, dass er kein Malware-ähnliches Verhalten wie Spyware, Trojaner oder Phishing aufweist – auch nicht unbeabsichtigt. | Binden Sie keinen Code ein, der erhöhte Berechtigungen missbraucht, um die Systemintegrität zu gefährden, der Geräte ohne ausdrückliche Einwilligung und Wissen des Nutzers rootet oder Maskware-Techniken verwendet, damit schädliches Verhalten nicht erkannt wird. |
| Verwenden Sie Tools, um nach Sicherheitslücken oder Backdoors zu suchen, die unerwünschte Remote-Vorgänge ermöglichen. | Verwenden Sie keine Drittanbieter-SDKs, die personenbezogene Daten zur Überwachung erheben und übertragen, ohne dass Nutzer ordnungsgemäß darüber informiert werden und ihre Einwilligung eingeholt wird (z. B. Stalkerware). Binden Sie keinen Code ein, der zu betrügerischen Abrechnungspraktiken im Zusammenhang mit SMS, Anrufen oder Gebührenbetrug führt. |
| Achten Sie darauf, dass Drittanbieter-SDKs Nutzerdaten nicht ohne richtlinienkonforme Funktionen und/oder angemessene Benachrichtigung oder Einwilligung erheben und/oder exfiltrieren (Spyware). | Verwenden Sie keine Drittanbieter-SDKs, die Denial-of-Service-Angriffe ausführen oder als schädlicher Downloader fungieren. |
| Achten Sie darauf, dass Ihre App keine Drittanbieter-SDKs enthält, die gegen das Android-Berechtigungsmodell verstoßen, indem sie durch den Zugriff auf Gerätedaten zu unbekannten Zwecken erhöhte Berechtigungen erhalten. |
Backdoors
Richtlinienzusammenfassung Summary
Zum Schutz Ihrer Nutzer müssen Sie jeglichen Code entfernen, der als Backdoor fungiert. Als Backdoor gilt Code, der unerwünschte oder schädliche ferngesteuerte Vorgänge ermöglicht. Bitte lesen Sie die vollständige Richtlinie, um sicherzustellen, dass Sie alle Vorgaben erfüllen.
Code, der die Ausführung von unerwünschten, potenziell schädlichen oder ferngesteuerten Vorgängen auf dem Gerät ermöglicht.
Dazu kann auch Verhalten zählen, dessen automatische Ausführung dazu führt, dass die App, das Binärprogramm oder die Framework-Änderung in eine der anderen Malwarekategorien fällt. Allgemein beschreibt der Begriff "Backdoor" einen potenziell schädlichen Vorgang auf einem Gerät, weshalb sich diese Kategorie nicht direkt mit anderen Kategorien wie dem Abrechnungsbetrug oder kommerzieller Spyware vergleichen lässt. Deshalb werden manche Backdoors unter Umständen von Google Play Protect als Sicherheitslücke eingestuft.
Wichtige Hinweise
| Das sollten Sie tun | Das sollten Sie nicht tun |
| Den Code Ihrer App und alle Drittanbieterbibliotheken gründlich auf verborgene Funktionen zur Remote-Steuerung testen | Versteckte Funktionen oder Möglichkeiten hinzufügen, die ausgenutzt werden könnten, um Nutzern zu schaden |
| Alle Endpunkte für die Remote-Ausführung vor unbefugtem Zugriff schützen | Code verschleiern, um Funktionen für den Remote-Zugriff zu verbergen |
| Bekannte Sicherheitslücken in Ihrer App sofort patchen | Warnungen zu potenziellen Sicherheitslücken in Ihren Abhängigkeiten ignorieren |
Abrechnungsbetrug
Richtlinienzusammenfassung Summary
Um Abrechnungsbetrug zu vermeiden, müssen Sie jeglichen Code entfernen, durch den Nutzern ohne ihre ausdrückliche Einwilligung auf irreführende Weise Kosten in Rechnung gestellt werden. Dazu gehören SMS-Betrug, Anrufbetrug und Gebührenbetrug, durch die Nutzer zu unerwünschten Zahlungen oder Abonnements verleitet werden. Bitte lesen Sie die vollständige Richtlinie, um sicherzustellen, dass Sie alle Vorgaben erfüllen.
Code, mit dessen Hilfe Nutzern, durch absichtlich irreführende Praktiken, automatisch Kosten in Rechnung gestellt werden.
Betrug bei der Abrechnung über den Mobilfunkanbieter lässt sich in die Kategorien SMS-Betrug, Anrufbetrug und Gebührenbetrug unterteilen.
SMS-Betrug
Code, durch den Nutzern, ohne ihre Zustimmung, das Senden von Premium-SMS in Rechnung gestellt oder versucht wird, SMS-Aktivitäten zu verschleiern. Das ist dann der Fall, wenn Offenlegungsvereinbarungen oder SMS des Mobilfunkanbieters versteckt werden, in denen der Nutzer über Gebühren informiert wird oder den Abschluss eines Abos bestätigen soll.
In manchen Fällen wird mit dem Code zwar das Verhalten beim Senden von SMS offengelegt, jedoch wird zusätzlich ein Verhalten eingeführt, das SMS-Betrug begünstigt. Beispiele sind das Verstecken oder Unlesbarmachen einzelner Abschnitte einer Offenlegungsvereinbarung oder das Unterdrücken von bestimmten SMS des Mobilfunkanbieters, in denen Nutzer über Gebühren informiert werden oder den Abschluss eines Abos bestätigen sollen.
Anrufbetrug
Code, durch den Nutzern Gebühren für Sonderrufnummern in Rechnung gestellt werden, obwohl sie keine Anrufe autorisiert haben.
Gebührenbetrug
Code, durch den Nutzer dazu verleitet werden, Inhalte zu abonnieren oder zu kaufen und sie über die Rechnung des Mobilfunkanbieters zu bezahlen.
Gebührenbetrug umfasst alle betrügerischen Abrechnungen mit Ausnahme von Premium-SMS und -Anrufen. Beispiele hierfür sind direkte Abrechnungen über den Mobilfunkanbieter, WAP-Betrug (Betrug über das Wireless Application Protocol) und Übertragungen, die über mobile Daten abgerechnet werden. WAP-Betrug zählt zu den häufigsten Arten des Gebührenbetrugs. Bei einem WAP-Betrug können Nutzer beispielsweise dazu verleitet werden, auf einem unbemerkt geladenen, transparenten WebView auf eine Schaltfläche zu klicken. Der Nutzer schließt dadurch ein Abo ab und die Bestätigungs-SMS oder -E-Mail wird in vielen Fällen gehackt, damit Nutzer die Finanztransaktion nicht bemerken.
Wichtige Hinweise
| Das sollten Sie tun | Das sollten Sie nicht tun |
| Die ausdrückliche und eindeutige Einwilligung der Nutzer einholen, bevor Sie Finanztransaktionen starten | Informationen zu Gebühren oder Abonnements verbergen oder verschleiern |
| Alle Abrechnungshinweise für den Nutzer klar, transparent und gut sichtbar präsentieren | Verborgene Webviews verwenden, automatisch Premium-SMS senden oder Anrufe ohne Einwilligung starten |
| Alle Benachrichtigungen zur Abrechnung über den Mobilfunkanbieter an den Nutzer senden | Methoden wie die direkte Abrechnung über den Mobilfunkanbieter verwenden, um Nutzer zu Abonnements zu verleiten |
Stalkerware
In Google Play sind keine Apps erlaubt, mit denen andere Personen durch Erhebung und Weitergabe personenbezogener und vertraulicher Nutzerdaten überwacht werden, es sei denn, die App wurde ausschließlich dafür entwickelt und vermarktet, dass Eltern ihre Kinder oder Unternehmen einzelne Mitarbeitende im Rahmen der Unternehmensverwaltung überwachen – vorausgesetzt, alle strengen Anforderungen werden von den Apps vollständig eingehalten. Bitte lesen Sie die vollständige Richtlinie, um sicherzustellen, dass Sie alle Vorgaben erfüllen.
Code, der personenbezogene oder sensible Nutzerdaten eines Geräts erhebt und die Daten zu Überwachungszwecken an einen Dritten (Unternehmen oder eine andere Person) weiterleitet
Apps müssen eine angemessene deutliche Offenlegung enthalten und entsprechend der Richtlinie zu Nutzerdaten die Einwilligung der Nutzer einholen.
Richtlinien für Überwachungs-Apps
Nur Apps, die ausschließlich für die Überwachung einer anderen Person entworfen und vermarktet werden, beispielsweise für die Überwachung von Kindern durch Eltern oder Mitarbeitern durch Unternehmensführungen, sind als Überwachungs-Apps zulässig, sofern sie die unten beschriebenen Anforderungen vollständig erfüllen. Diese Apps dürfen jedoch nicht verwendet werden, um andere Personen (z. B. einen Partner) zu überwachen, auch nicht, wenn diese davon wissen und ihre Einwilligung gegeben haben, und unabhängig davon, ob ein dauerhaft sichtbarer Hinweis angezeigt wird. In diesen Apps muss das IsMonitoringTool-Metadatenflag in der Manifestdatei verwendet werden, um sie als Überwachungs-Apps zu kennzeichnen.
Überwachungs-Apps müssen diesen Anforderungen entsprechen:
- Die Apps dürfen nicht als Lösungen zur Spionage oder geheimen Überwachung angeboten werden.
- Die Apps dürfen eine solche Nachverfolgung nicht verheimlichen oder verschleiern oder Nutzer im Hinblick auf solche Funktionen täuschen.
- In den Apps muss dem Nutzer ein dauerhaft sichtbarer Hinweis eingeblendet werden, wenn sie ausgeführt wird, sowie ein Symbol zur eindeutigen Identifikation der App.
- In der Google Play Store-Beschreibung der App müssen Überwachungs- und Tracking-Funktionen offengelegt werden.
- Apps und ihre Einträge bei Google Play dürfen es Nutzern nicht ermöglichen, Funktionen zu aktivieren, die gegen diese Richtlinien verstoßen, oder auf solche Funktionen zuzugreifen, etwa durch einen Link zu einem nicht konformen APK außerhalb von Google Play.
- Apps müssen allen anwendbaren Gesetzen entsprechen. Für die Rechtmäßigkeit Ihrer App im jeweiligen Zielland sind allein Sie verantwortlich.
Wichtige Hinweise
| Das sollten Sie tun | Das sollten Sie nicht tun |
| Ihre App ausschließlich für die Nutzung durch Eltern oder die Verwaltung eines Unternehmens vermarkten | Die App als Spionage- oder Überwachungslösung vermarkten |
Das Flag IsMonitoringTool in Ihr Manifest einfügen |
Andere Erwachsene, einschließlich Ehepartner, tracken (auch nicht mit deren Erlaubnis) |
| Während der Ausführung eine dauerhafte Benachrichtigung und ein eindeutiges Symbol einblenden | Nutzer hinsichtlich des Trackings täuschen oder es verheimlichen oder verschleiern |
| Alle Überwachungsfunktionen in Ihrer Play Store-Beschreibung offenlegen | Auf nicht richtlinienkonforme APKs verweisen, die außerhalb von Google Play gehostet werden |
| Für eine angemessene deutliche Offenlegung sorgen und eine Einwilligung einholen | Möglichkeiten zum Aktivieren von Funktionen, die gegen diese Bedingungen verstoßen, bereitstellen |
Denial of Service (DoS)
Richtlinienzusammenfassung Summary
Zum Schutz Ihrer App und anderer Systeme müssen Sie jeglichen Code entfernen, der ohne Wissen des Nutzers andere Systeme angreift oder eine übermäßige Netzwerklast erzeugt. Bitte lesen Sie die vollständige Richtlinie, um sicherzustellen, dass Sie alle Vorgaben erfüllen.
Code, der dazu dient, ohne das Wissen des Nutzers einen DoS-Angriff (Denial of Service) durchzuführen, oder Code, der Teil eines dezentralen DoS-Angriffs auf andere Systeme oder Ressourcen ist.
Dies geschieht beispielsweise durch das Senden einer großen Anzahl von HTTP-Anfragen, um Remote-Server zu überlasten.
Wichtige Hinweise
| Das sollten Sie tun | Das sollten Sie nicht tun |
| Ihren Code und Drittanbieter-SDKs gründlich auf Netzwerkmissbrauch testen | Code verbergen oder einbetten, der eine hohe Anzahl an Netzwerkanfragen oder übermäßigen Traffic generiert |
| Sicherstellen, dass alle Netzwerkanfragen Ihrer App legitim und für ihre Funktionalität erforderlich sind | Funktionen einbinden, die aus der Ferne aktiviert werden können, um externe Systeme anzugreifen |
Schädliche Downloader
Richtlinienzusammenfassung
Google Play verbietet „schädliche Downloader“. Das sind Apps, die unerwünschte Software für Mobilgeräte herunterladen. Eine App wird als „schädlicher Downloader“ gekennzeichnet, wenn davon ausgegangen wird, dass sie zur Verbreitung unerwünschter Software für Mobilgeräte entwickelt wurde, oder wenn mindestens 5 % ihrer Downloads als unerwünschte Software für Mobilgeräte eingestuft werden. Diese Richtlinie gilt nicht für gängige Browser- oder Dateifreigabe-Apps, sofern sie Software nur mit der ausdrücklichen Einwilligung und auf Initiative des Nutzers herunterladen. Bitte lesen Sie die vollständige Richtlinie, um sicherzustellen, dass Sie alle Vorgaben erfüllen.
Code, der an sich zwar nicht schädlich ist, durch den aber weitere PSAs heruntergeladen werden.
In folgenden Fällen kann es sich um einen schädlichen Downloader handeln:
- Es besteht Grund zur Annahme, dass der Code zur Verbreitung von PSAs erstellt wurde und PSAs heruntergeladen hat bzw. dazu in der Lage ist, Apps herunterzuladen und zu installieren.
- Mindestens 5 % der von ihm heruntergeladenen Apps sind PSAs – der untere Grenzwert liegt hierfür bei 500 beobachteten App-Downloads (25 beobachtete PSA-Downloads).
Gängige Browser und Dateifreigabe-Apps sind keine schädlichen Downloader, solange Folgendes der Fall ist:
- Es werden keine Inhalte ohne Nutzerinteraktion heruntergeladen.
- Alle PSA-Downloads erfolgen mit der Zustimmung des Nutzers.
Wichtige Hinweise
| Das sollten Sie tun | Das sollten Sie nicht tun |
| Sicherstellen, dass Ihre App keinen Code enthält, der unerwünschte Software für Mobilgeräte verbreitet | Code in Ihre App einbinden, der unerwünschte Software für Mobilgeräte verbreitet |
| Die Downloads im Blick behalten, um deutlich unter dem Grenzwert von 5 % für unerwünschte Software für Mobilgeräte zu bleiben | Den Grenzwert von 5 % für unerwünschte Software für Mobilgeräte überschreiten (25 Downloads von unerwünschter Software für Mobilgeräte pro 500 Downloads) |
| Sicherstellen, dass alle App-Downloads von einem Nutzer ausgehen, der dem zugestimmt hat, wenn der Zweck Ihrer App darin besteht, andere Dateien herunterzuladen (z. B. bei einem Browser oder einer App zum Teilen von Dateien) | Funktionen einbauen, die App-Downloads ohne explizite Nutzerinteraktion auslösen, wenn der Zweck Ihrer App darin besteht, andere Dateien herunterzuladen (z. B. bei einem Browser oder einer App zum Teilen von Dateien) |
Bedrohung, die keine Gefahr für Android darstellt
Code, der Bedrohungen enthält, die keine Gefahr für Android darstellen.
Diese Apps stellen zwar kein Risiko für Android-Nutzer oder -Geräte dar, können aber für andere Plattformen schädlich sein.
Phishing
Richtlinienzusammenfassung SummarySie müssen jeglichen Code entfernen, der Phishing ermöglicht, indem auf betrügerische Weise Anmeldedaten oder Zahlungsinformationen eines Nutzers angefordert und an Dritte gesendet werden. Bitte lesen Sie die vollständige Richtlinie, um sicherzustellen, dass Sie alle Vorgaben erfüllen.
Code, der vorgibt, aus einer vertrauenswürdigen Quelle zu stammen, und Anmeldedaten für die Authentifizierung oder Zahlungsinformationen des Nutzers anfordert und die Daten an Dritte sendet. Auch Code, der Nutzerdaten abfängt, während diese übertragen werden, zählt zu dieser Kategorie.
Häufig sind Bankdaten, Kreditkartennummern und Anmeldedaten für soziale Netzwerke oder Spiele das Ziel von Phishing.
Wichtige Hinweise
| Das sollten Sie tun | Das sollten Sie nicht tun |
| Offizielle APIs und sichere Methoden verwenden, um Anmeldedaten und Zahlungsinformationen von Nutzern zu verarbeiten | Sich als vertrauenswürdige Quelle ausgeben, um Nutzer dazu zu bringen, personenbezogene oder Finanzdaten anzugeben |
| Dafür sorgen, dass alle Nutzerdaten sicher übertragen werden und nicht von Dritten gelesen werden können | Anmeldedaten oder vertrauliche Informationen von Nutzern ohne deren Einwilligung abfangen oder erheben |
| Transparent gegenüber Nutzern offenlegen, welche Daten Sie aus welchem Grund anfordern | Vertrauliche Nutzerdaten an Dritte senden, ohne die Nutzer ordnungsgemäß darüber zu informieren und ihre ausdrückliche Einwilligung einzuholen |
Missbrauch von erhöhten Berechtigungen
Richtlinienzusammenfassung SummaryUm Richtlinienverstöße durch Missbrauch von erhöhten Berechtigungen zu vermeiden, darf Ihre App keinen Code enthalten, der sich erhöhte Berechtigungen verschafft oder die Sicherheits-Sandbox von Android umgeht. Dazu gehört Code, der Anmeldedaten aus anderen Apps stiehlt, das Berechtigungsmodell von Android umgeht oder zentrale Sicherheitsfunktionen deaktiviert. Ihre App muss außerdem die Kontrolle der Nutzer über ihre Geräte respektieren. Bitte lesen Sie die vollständige Richtlinie, um sicherzustellen, dass Sie alle Vorgaben erfüllen.
Code, der die Integrität des Systems dadurch gefährdet, dass er die App-Sandbox beeinträchtigt, Berechtigungen ausweitet oder den Zugriff auf sicherheitsrelevante Hauptfunktionen ändert oder deaktiviert.
Beispiele:
- Eine App, die gegen das Berechtigungsmodell von Android verstößt oder Anmeldedaten wie beispielsweise OAuth-Tokens von anderen Apps stiehlt
- Apps, die Funktionen missbrauchen, um zu verhindern, dass sie deinstalliert oder beendet werden können
- Eine App, die SELinux deaktiviert
Apps zur Rechteausweitung, die das Gerät ohne Zustimmung des Nutzers rooten, werden als Rooting-Apps eingestuft.
Wichtige Hinweise
| Das sollten Sie tun | Das sollten Sie nicht tun |
| Code entwickeln, der das Android-Berechtigungsmodell berücksichtigt | Apps entwickeln, die das System beeinträchtigen, indem sie die App-Sandbox umgehen |
| Ihre App so entwickeln, dass sie mit Standardnutzerberechtigungen funktioniert | Code schreiben, der verhindert, dass die App eines Nutzers deinstalliert wird |
Ransomware (Erpressungstrojaner)
Ransomware ist Malware, die einem Nutzer den Zugriff auf und die Kontrolle über sein Gerät oder seine Daten nimmt und eine Zahlung oder bestimmte Aktion erfordert, um sie wiederherzustellen. Sie dürfen Nutzer nicht aussperren, keine Daten verschlüsseln und nicht die Deinstallation verhindern. Diese Richtlinie soll Nutzer vor Erpressung schützen. Bitte lesen Sie die vollständige Richtlinie, um sicherzustellen, dass Sie alle Vorgaben erfüllen.
Code, der die teilweise oder komplette Kontrolle über ein Gerät oder Daten auf einem Gerät übernimmt und vom Nutzer eine Zahlung oder die Durchführung einer Aktion verlangt, um diese wieder freizugeben.
Manche Ransomware (Erpressungstrojaner) verschlüsselt die Daten auf dem Gerät und verlangt für die Entschlüsselung eine Zahlung. In einigen Fällen werden auch die Admin-Funktionen des Geräts verwendet, um zu verhindern, dass der Nutzer die Ransomware deinstallieren kann. Beispiele:
- Die Ransomware sperrt den Nutzer aus und verlangt im Austausch für die Kontrolle über das Gerät eine Zahlung.
- Die Daten auf dem Gerät werden verschlüsselt und die Ransomware behauptet, sie würde die Daten gegen eine Zahlung entschlüsseln.
- Die Ransomware nutzt Funktionen des Richtlinienmanagers, um die Deinstallation durch den Nutzer zu verhindern.
Code, der mit dem Gerät ausgeliefert wird und in erster Linie zur Unterstützung der Geräteverwaltung dient, wird möglicherweise nicht als Ransomware eingestuft. Dazu muss er die Anforderungen an die sichere Sperrung und Verwaltung sowie die Anforderungen zur deutlichen Offenlegung und zur Einholung der Nutzereinwilligung erfüllen.
Wichtige Hinweise
| Das sollten Sie tun | Das sollten Sie nicht tun |
| Sicherstellen, dass der Code Ihrer App keine schädlichen Ransomware-Funktionen enthält | Nutzerdaten verschlüsseln oder Nutzer von ihren Geräten aussperren |
| Die ausdrückliche Einwilligung der Nutzer für alle Funktionen zur Geräteverwaltung einholen | Geräteadministratorfunktionen verwenden, um zu verhindern, dass Ihre App deinstalliert wird |
| Nutzern eine klare und einfache Möglichkeit bieten, Ihre App zu entfernen | Zahlung oder bestimmte Aktion verlangen, um die Kontrolle über das Gerät wiederherzustellen |
Rooting
Google Play erlaubt Rooting, sofern es nicht missbräuchlich erfolgt. Schädlicher Rooting-Code ist jedoch verboten. Sie müssen Nutzer vorab über das Rooting informieren und dafür sorgen, dass Ihre App keine schädlichen zusätzlichen Aktionen ausführt. Ziel ist es, sicherzustellen, dass Nutzer dieser weitreichenden Änderung am Gerät ausdrücklich zustimmen und keiner schädlichen zusätzlichen Funktionalität ausgesetzt werden. Bitte lesen Sie die vollständige Richtlinie, um sicherzustellen, dass Sie alle Vorgaben erfüllen.
Code, der das Gerät rootet.
Rooting-Code ist nicht immer schädlich. Nicht schädliche Rooting-Apps informieren Nutzer vorab über den Root-Vorgang und führen keine potenziell schädlichen Aktionen aus, die unter andere PSA-Kategorien fallen.
Schädliche Rooting-Apps rooten das Gerät ohne das Wissen des Nutzers oder informieren Nutzer zwar vorab über den Root-Vorgang, führen jedoch Aktionen aus, die zu anderen PSA-Kategorien zählen.
Wichtige Hinweise
| Das sollten Sie tun | Das sollten Sie nicht tun |
| Nutzer im Voraus darüber informieren, dass Ihre App das Gerät rooten wird | Gerät rooten, ohne den Nutzer darüber zu informieren |
| Vor dem Rooten die ausdrückliche Einwilligung des Nutzers einholen | In einer Rooting-App schädliche zusätzliche Aktionen ausführen |
| Prüfen, ob der Code Ihrer App frei von schädlichen zusätzlichen Funktionen ist | Rooting-Code verwenden, um schädliche zusätzliche Funktionen zu verbergen |
Spam
Spyware
Richtlinienzusammenfassung Summary
Google Play verbietet die schädliche Erhebung und Weitergabe von Nutzer- und Gerätedaten. Unabhängig von der Nutzereinwilligung oder der Offenlegung muss die Erhebung und Weitergabe von Daten im Zusammenhang mit richtlinienkonformen Funktionen stehen. Bitte lesen Sie die vollständige Richtlinie, um sicherzustellen, dass Sie alle Vorgaben erfüllen.
Bei Spyware handelt es sich um schädliche Anwendungen, schädlichen Code oder schädliche Verhaltensweisen, bei denen Nutzer- oder Gerätedaten erhoben, exfiltriert oder weitergegeben werden, obwohl sie nicht mit richtlinienkonformen Funktionen in Verbindung stehen.
Schädlicher Code oder schädliche Verhaltensweisen, die als Ausspähen des Nutzers betrachtet werden können oder bei denen Daten exfiltriert werden, ohne den Nutzer ausreichend zu informieren bzw. seine Einwilligung einzuholen, werden ebenfalls als Spyware eingestuft.
Zu den Spyware-Verstößen zählen unter anderem:
- Das Aufzeichnen von Audio oder eingehenden Anrufen
- Das Stehlen von App-Daten
- Apps mit schädlichem Code von Drittanbietern (zum Beispiel SDKs), die Daten auf eine für den Nutzer unerwartete Weise vom Gerät aus versenden und/oder den Nutzer nicht ausreichend darüber informieren bzw. seine Einwilligung einholen
Außerdem muss jede App allen Google Play-Programmrichtlinien für Entwickler entsprechen, einschließlich denen zu Nutzer- und Gerätedaten wie den Richtlinien zu unerwünschter Software für Mobilgeräte, Nutzerdaten, Berechtigungen und APIs, die auf vertrauliche Informationen zugreifen und Anforderungen an SDKs.
Wichtige Hinweise
| Das sollten Sie tun | Das sollten Sie nicht tun |
| Vor der Erhebung oder Übertragung von Daten Nutzer klar und unmissverständlich informieren und ihre ausdrückliche Einwilligung einholen | Drittanbieter-SDKs in Ihrer App erlauben, Audioaufnahmen anzufertigen, Anrufe aufzuzeichnen oder auf App-Daten zuzugreifen, wenn keine ausdrückliche Nutzereinwilligung vorliegt und keine richtlinienkonforme Funktionalität gegeben ist |
| Robustes Logging und Auditing für den Datenzugriff und die Datenübertragung aller Drittanbieter-SDKs implementieren, um unbefugte Daten-Exfiltration zu erkennen und zu verhindern | Verdeckt Daten erheben oder mehr Daten erheben, als für die angegebene Funktion Ihrer App erforderlich sind |
| Sicherstellen, dass die in Ihre App eingebundenen SDKs nur die minimal erforderlichen Daten erheben und dass ihr Zweck oder ihr Verhalten nicht dazu führt, dass Ihre App gegen die Google Play-Richtlinien verstößt | Drittanbieter-SDKs in Ihre App einbinden, die Daten auf unerwartete Weise oder ohne ordnungsgemäße Einwilligung übertragen |
| Ohne gründliche Prüfung davon ausgehen, dass die Datenerhebungspraktiken der in Ihre App eingebundenen Drittanbieter-SDKs richtlinienkonform sind |
Trojaner
Ein Trojaner ist Code, der eine versteckte, schädliche Komponente enthält. Diese Richtlinie verbietet Apps, die ohne Wissen des Nutzers unerwünschte Aktionen zu seinem Nachteil ausführen. Als Entwickler müssen Sie dafür sorgen, dass der Code Ihrer App transparent ist und keine verborgenen, schädlichen Funktionen enthält. Bitte lesen Sie die vollständige Richtlinie, um sicherzustellen, dass Sie alle Vorgaben erfüllen.
Code, der scheinbar ungefährlich ist – beispielsweise ein Spiel, das vorgibt, nur ein Spiel zu sein –, jedoch unerwünschte Aktionen durchführt.
Diese Klassifizierung wird oft in Kombination mit anderen PSA-Kategorien verwendet. Ein Trojaner hat beispielsweise eine harmlose und eine versteckte schädliche Komponente. Beispiel: Ein Spiel, das ohne das Wissen des Nutzers im Hintergrund Premium-SMS versendet.
Wichtige Hinweise
| Das sollten Sie tun | Das sollten Sie nicht tun |
| Sicherstellen, dass der Code Ihrer App transparent ist und dem angegebenen Zweck dient | Schädliche Funktionen in einer scheinbar harmlosen App verstecken |
| Bestätigen, dass dem Nutzer alle App-Funktionen offengelegt werden | Hintergrundaktionen ohne ausdrückliche Kenntnis und Einwilligung des Nutzers ausführen |
| Sich vergewissern, dass enthaltene Drittanbieter-SDKs sicher sind und kein verborgenes Verhalten aufweisen | Den Zweck Ihrer App falsch darstellen, um Nutzer zu täuschen |
Hinweis zu ungewöhnlichen Apps
Wenn Google Play Protect nicht genügend Informationen hat, um die Sicherheit Ihrer neuen App zu bestätigen, wird sie möglicherweise als „ungewöhnlich“ klassifiziert. Dieser Status bedeutet nicht, dass Ihre App schädlich ist, sondern dass sie weiter überprüft werden muss. Bitte lesen Sie die vollständige Richtlinie, um sicherzustellen, dass Sie alle Vorgaben erfüllen.
Wichtige Hinweise
| Das sollten Sie tun | Das sollten Sie nicht tun |
| In Ihrem App-Eintrag vollständige und korrekte Informationen angeben | Funktionen verbergen und Code verschleiern |
| Sicherstellen, dass der Code sauber und gut dokumentiert ist, damit er überprüft werden kann | Nicht überprüfte Bibliotheken von Drittanbietern verwenden |
Hinweis zur Kategorie "Backdoor"
Als Backdoor wird Code bezeichnet, der schädliches Verhalten ermöglicht. Wird dynamisches Laden von Code verwendet, um schädliche Aktionen auszuführen, verstößt Ihre App gegen die Richtlinien. Der Code Ihrer App darf keine verborgenen, schädlichen Funktionen enthalten. Wenn eine Sicherheitslücke ohne böswillige Absicht gefunden wird, werden Sie aufgefordert, sie zu patchen. Bitte lesen Sie die vollständige Richtlinie, um sicherzustellen, dass Sie alle Vorgaben erfüllen.
Ob Code unter die Malwarekategorie "Backdoor" fällt, hängt von seinem Verhalten ab. Code wird nur dann als Backdoor eingestuft, wenn seine automatische Ausführung ein Verhalten ermöglicht, durch das er unter eine der anderen Malwarekategorien fällt. Wenn eine App beispielsweise das dynamische Laden von Code erlaubt und so SMS extrahiert werden, wird die App als Backdoor-Malware eingestuft.
Wenn eine App jedoch die Ausführung von beliebigem Code erlaubt und kein Grund zur Annahme besteht, dass böswilliges Verhalten dahinter steckt, spricht man stattdessen von einer Sicherheitslücke, die der Entwickler mit einem Patch beheben muss.
Wichtige Hinweise
| Das sollten Sie tun | Das sollten Sie nicht tun |
| Allen Code, der eine dynamische Ausführung ermöglicht, gründlich testen | Das dynamische Laden von Code verwenden, um verborgene, schädliche Aktionen auszuführen |
| Sicherstellen, dass der Code Ihrer App keine Sicherheitslücken enthält, die ausgenutzt werden könnten | Zulassen, dass beliebiger Code ohne sorgfältige Sicherheitsprüfungen ausgeführt wird |
| Alle in Ihrer App gefundenen Sicherheitslücken umgehend patchen | Nicht überprüfte Bibliotheken von Drittanbietern verwenden, die Backdoors ermöglichen könnten |
Riskware
Eine App ist Riskware, wenn sie Umgehungstechniken einsetzt, um schädliche Funktionen zu verbergen. Sie tarnt sich als legitime App und verwendet Methoden wie Verschleierung oder dynamisches Laden von Code, um schädliche Inhalte erst später zu enthüllen. Sie müssen dafür sorgen, dass Ihre App transparent ist und solche Techniken nicht verwendet, um Prüfer oder Nutzer zu täuschen. Bitte lesen Sie die vollständige Richtlinie, um sicherzustellen, dass Sie alle Vorgaben erfüllen.
Eine Anwendung, die verschiedene Täuschverfahren einsetzt, um dem Nutzer abweichende oder gefälschte Anwendungsfunktionen bereitzustellen. Solche Apps tarnen sich als legitime Anwendungen oder Spiele, um in App-Shops und für Nutzer harmlos zu wirken. Sie verwenden Techniken wie Verschleierung, dynamisches Laden von Code oder Cloaking, um potenziell schädliche Inhalte zu verbergen.
Riskware ähnelt anderen Kategorien von potenziell schädlichen Apps (PSA) und insbesondere Trojanern. Der wesentliche Unterschied besteht in den Verfahren, die zur Verschleierung der Schadaktivitäten eingesetzt werden.
Wichtige Hinweise
| Das sollten Sie tun | Das sollten Sie nicht tun |
| Sicherstellen, dass der Code Ihrer App übersichtlich und leicht zu überprüfen ist | Funktionen verschleiern oder tarnen |
| Sämtliche Funktionen Ihrer App transparent machen | Dynamisches Laden von Code verwenden, um schädliche Inhalte bereitzustellen |
| Alle Funktionen in der App-Beschreibung offenlegen | Das Verhalten Ihrer App für Prüfer anders gestalten als für reguläre Nutzer |
Help us improve this policy article by taking a 2-minute survey.