Clauză de declinare a responsabilității: rezumatele politicilor și aspectele esențiale sunt doar niște prezentări generale. Consultă întotdeauna întreaga politică pentru conformitate. Politica întreagă are prioritate în cazul unui conflict.
Politica Rezumat
Pentru a menține un ecosistem Android sigur, Google Play interzice orice cod rău intenționat, inclusiv SDK-uri terță parte integrate în aplicații, care ar putea reprezenta un pericol pentru utilizatori, pentru datele sau dispozitivele lor. Citește politica în întregime pentru a asigura conformitatea.
Programele malware înseamnă orice cod care ar putea reprezenta un pericol pentru utilizator, pentru datele acestuia sau pentru un dispozitiv. Printre programele malware se numără aplicațiile potențial dăunătoare (APD), fișierele binare sau modificările cadrului, care constau din categorii precum troienii, phishingul și aplicațiile spyware. Actualizăm și adăugăm în permanență categorii noi.
Deși tipul și funcțiile programelor malware variază, acestea au de obicei unul dintre următoarele obiective:
- să compromită integritatea dispozitivului utilizatorului;
- să preia controlul asupra dispozitivului utilizatorului;
- să permită operațiuni controlate de la distanță prin care atacatorul să acceseze, să folosească sau să exploateze un dispozitiv infectat;
- să transmită date cu caracter personal sau date de conectare de pe dispozitiv fără informarea și consimțământul necesare;
- să trimită spam sau comenzi de la dispozitivul infectat care să afecteze alte dispozitive sau rețele;
- să înșele utilizatorul.
O aplicație, un fișier binar sau o modificare a cadrului poate fi dăunătoare, prin urmare poate genera comportament rău intenționat, chiar dacă nu a fost creată în acest scop. Motivul este că aplicațiile, fișierele binare sau modificările cadrului pot să funcționeze diferit, în funcție de mai multe variabile. Prin urmare, este posibil ca ceea ce dăunează unui dispozitiv Android să nu prezinte un pericol pentru un alt dispozitiv Android. De exemplu, un dispozitiv care folosește cea mai recentă versiune Android nu este afectat de aplicații dăunătoare care folosesc API-uri învechite pentru a manifesta un comportament rău intenționat, dar un dispozitiv care folosește o versiune Android foarte veche ar putea fi în pericol. Aplicațiile, fișierele binare sau modificările cadrului sunt semnalate ca programe malware sau ca aplicații potențial dăunătoare dacă este clar că prezintă un pericol pentru unul sau toate dispozitivele și utilizatorii Android.
Categoriile de programe malware de mai jos reflectă convingerea noastră fundamentală că utilizatorii trebuie să înțeleagă cum este folosit dispozitivul lor și să promoveze un ecosistem sigur, care să permită inovarea eficientă și o experiență fiabilă a utilizatorului.
Pentru mai multe informații, accesați Google Play Protect.
Aspecte esențiale
| Acțiuni recomandate | Acțiuni nerecomandate |
| Verifică în detaliu tot codul aplicației, inclusiv SDK-urile terță parte, pentru a te asigura că nu are comportamente asemănătoare programelor malware, cum ar fi spyware-ul, troienii sau phishingul, nici măcar în mod neintenționat. | Nu integra cod care abuzează de privilegiile de nivel superior pentru a compromite integritatea sistemului, trece dispozitivele în modul root fără consimțământul explicit și știrea utilizatorului sau folosește tehnici de tip maskware pentru a evita detectarea comportamentului rău intenționat. |
| Îți recomandăm să folosești instrumente pentru a verifica dacă există vulnerabilități de securitate sau facilități backdoor care fac posibile operațiunile nedorite de la distanță. | Nu folosi SDK-uri terță parte care colectează și transmit date cu caracter personal pentru monitorizare fără informarea și consimțământul corespunzător al utilizatorului (de exemplu, software de supraveghere). Nu include cod care va determina practici de facturare înșelătoare care implică SMS-uri, apeluri sau fraudă prin servicii de telefonie. |
| Asigură-te că SDK-urile terță parte nu colectează și/sau nu extrag date ale utilizatorilor fără funcții care respectă politicile și/sau fără o notificare sau un consimțământ adecvat (spyware). | Nu folosi SDK-uri terță parte care execută atacuri de tipul „refuzare a serviciului” sau acționează ca instrumente de descărcare de aplicații potențial dăunătoare. |
| Asigură-te că aplicația nu include SDK-uri terță parte care încalcă modelul de permisiuni Android, obținând privilegii de nivel superior prin accesarea datelor de pe dispozitiv pentru un scop nedivulgat. |
Facilități backdoor
Rezumatul politicii
Pentru a-ți proteja utilizatorii, trebuie să elimini orice cod care acționează ca un backdoor, definit drept cod care facilitează operațiuni nedorite sau dăunătoare controlate de la distanță. Citește politica în întregime pentru a asigura conformitatea.
Cod care permite executarea unor operațiuni nedorite, potențial periculoase, controlate de la distanță pe un dispozitiv.
Aici poate fi inclus comportamentul care ar plasa aplicația, fișierul binar sau modificarea cadrului într-una dintre celelalte categorii de programe malware, dacă se execută automat. În general, „backdoor” descrie modul în care se poate executa o operațiune potențial periculoasă pe un dispozitiv și, prin urmare, nu se încadrează în totalitate în categorii precum frauda prin facturare sau spyware-ul comercial. Drept urmare, în anumite circumstanțe, Google Play Protect tratează un subset de facilități backdoor ca pe o vulnerabilitate.
Aspecte esențiale
| Acțiuni recomandate | Acțiuni nerecomandate |
| Testează în detaliu codul aplicației și toate bibliotecile terță parte pentru a depista funcțiile ascunse de control de la distanță. | Nu include funcții sau capacități ascunse care ar putea fi exploatate pentru a dăuna utilizatorilor. |
| Securizează toate punctele finale de execuție de la distanță împotriva accesului neautorizat. | Nu obscuriza codul pentru a ascunde funcționalitatea de acces la distanță. |
| Corectează imediat vulnerabilitățile de securitate cunoscute ale aplicației. | Nu ignora avertismentele despre potențialele vulnerabilități ale dependențelor. |
Frauda prin facturare
Rezumatul politicii
Pentru a evita frauda prin facturare, trebuie să elimini orice cod care debitează utilizatorii prin înșelăciune, fără consimțământul lor explicit. Aici sunt incluse frauda prin SMS, frauda prin apeluri și frauda prin servicii de telefonie, care păcălesc utilizatorii să facă plăți sau să se aboneze la servicii nedorite. Citește politica în întregime pentru a asigura conformitatea.
Cod care debitează automat utilizatorul într-un mod voit înșelător.
Fraudele prin facturare prin operatorul de telefonie mobilă se împart în fraude prin SMS, fraude prin apeluri și fraude prin servicii de telefonie.
Frauda prin SMS
Cod care îi determină pe utilizatori să trimită SMS-uri premium fără consimțământ, încearcă să deghizeze activitățile de SMS ascunzând acordurile de divulgare sau mesajele SMS de la operatorul mobil care informează utilizatorul cu privire la taxe sau confirmă abonamente.
Unele coduri, chiar dacă teoretic dezvăluie comportamentul de trimitere a SMS-urilor, introduc comportamente suplimentare care permit frauda prin SMS. Între exemple se numără ascunderea pentru utilizator a unor părți dintr-un acord de divulgare, împiedicarea afișării lor și suprimarea condiționată a mesajelor SMS de la operatorul mobil care informează utilizatorul cu privire la taxe sau confirmă un abonament.
Frauda prin apeluri
Cod care taxează utilizatorii apelând numere premium fără consimțământul lor.
Frauda prin numere de telefon cu taxă
Cod care păcălește utilizatorii să se aboneze sau să cumpere conținut prin intermediul facturii de telefonie mobilă.
În acest tip de fraudă se încadrează orice tip de facturare, în afara mesajelor SMS și a apelurilor cu suprataxă. Între exemple se numără facturarea directă prin operator, protocolul pentru aplicații wireless (WAP) și transferul minutelor pe mobil. Frauda prin WAP este unul dintre cele mai frecvente tipuri de fraudă prin servicii de telefonie. În acest caz, utilizatorii sunt păcăliți să dea clic pe un buton de pe un WebView transparent, încărcat pe ascuns. Astfel se inițiază un abonament recurent, iar SMS-ul sau e-mailul de confirmare este deturnat pentru ca utilizatorii să nu observe tranzacția financiară.
Aspecte esențiale
| Acțiuni recomandate | Acțiuni nerecomandate |
| Obține consimțământul explicit și lipsit de ambiguitate al utilizatorilor înainte de a iniția orice tranzacții financiare. | Nu ascunde și nu masca informațiile despre debitări sau abonamente. |
| Asigură-te că toate divulgările despre facturare sunt clare, transparente și vizibile pentru utilizator. | Nu folosi webview-uri ascunse și nu trimite automat mesaje SMS premium sau nu iniția apeluri fără consimțământ. |
| Trimite utilizatorului toate notificările privind facturarea prin operator. | Nu folosi metode precum facturarea directă prin operator pentru a convinge utilizatorii să se aboneze. |
Software de supraveghere
Google Play interzice aplicațiilor să monitorizeze altă persoană prin colectarea și transmiterea datelor cu caracter personal și sensibile ale utilizatorilor, cu excepția cazului în care aplicația este creată și comercializată exclusiv pentru ca părinții să-și monitorizeze copiii sau pentru gestionarea întreprinderii în scopul monitorizării angajaților, cu condiția să respecte pe deplin cerințe stricte. Citește politica în întregime pentru a asigura conformitatea.
Cod care colectează date sensibile sau cu caracter personal ale utilizatorilor de pe un dispozitiv și transmite datele unei terțe părți (întreprindere sau o altă persoană fizică) în scopuri de monitorizare.
Aplicațiile trebuie să conțină o informare vizibilă corespunzătoare și să obțină consimțământul, așa cum prevede Politica privind datele utilizatorilor.
Regulament privind aplicațiile de monitorizare
Aplicațiile create și comercializate exclusiv pentru monitorizarea unei alte persoane, de exemplu, pentru ca părinții să-și monitorizeze copiii, sau pentru gestionarea la nivel de companie în scopul monitorizării angajaților sunt singurele aplicații de monitorizare acceptabile, cu condiția să respecte pe deplin cerințele de mai jos. Aceste aplicații nu pot fi folosite pentru a urmări pe altcineva (de exemplu, un soț / o soție) fără cunoștința sau permisiunea persoanei în cauză, indiferent dacă se afișează sau nu o notificare persistentă.Aplicațiile respective trebuie să folosească semnalizatorul de metadate IsMonitoringTool în fișierul manifest ca să se încadreze corect drept aplicații de monitorizare.
Aplicațiile de monitorizare trebuie să respecte următoarele cerințe:
- aplicațiile nu trebuie să se prezinte ca soluții de spionaj sau de supraveghere secretă;
- aplicațiile nu trebuie să ascundă sau să disimuleze comportamentul de urmărire, nici să încerce să înșele utilizatorii în privința unor astfel de funcții;
- aplicațiile trebuie să le prezinte utilizatorilor o notificare persistentă cât timp rulează și o pictogramă unică, prin care aplicația se identifică clar;
- aplicațiile trebuie să divulge funcția de monitorizare sau de urmărire în descrierea din Magazinul Google Play;
- aplicațiile și înregistrările de aplicații de pe Google Play nu trebuie să ofere niciun mijloc de a activa sau de a accesa funcții care încalcă aceste condiții, cum ar fi trimiterea la un APK necorespunzător, găzduit în afara Google Play;
- aplicațiile trebuie să respecte legislația în vigoare. Îți revine întreaga responsabilitate pentru stabilirea caracterului legal al aplicației tale în locația vizată.
Aspecte esențiale
| Acțiuni recomandate | Acțiuni nerecomandate |
| Promovează-ți aplicația exclusiv pentru uz parental sau pentru gestionarea întreprinderilor. | Nu promova aplicația ca soluție de spionaj sau de supraveghere. |
Include semnalul IsMonitoringTool în manifest. |
Nu urmări alți adulți, inclusiv soții / soțiile, chiar dacă ai permisiunea lor. |
| Afișează o notificare persistentă și o pictogramă unică cât timp aplicația rulează. | Nu ascunde, nu deghiza informații și nu păcăli utilizatorii în privința comportamentului de urmărire. |
| Dezvăluie toate funcțiile de monitorizare în descrierea din magazin. | Nu redirecționa utilizatorii către APK-uri neconforme găzduite în afara Google Play. |
| Afișează o divulgare vizibilă adecvată și obține consimțământul. | Nu oferi mijloace de activare a funcțiilor care încalcă aceste condiții. |
Refuz al serviciului (DoS)
Rezumatul politicii
Pentru a-ți proteja aplicația și alte sisteme, trebuie să elimini orice cod care atacă alte sisteme sau generează o încărcare excesivă a rețelei fără știrea utilizatorului. Citește politica în întregime pentru a asigura conformitatea.
Cod care, fără știința utilizatorului, execută un atac de tip „refuz al serviciului” (DoS) sau face parte dintr-un atac DoS distribuit împotriva altor sisteme și resurse.
De exemplu, acest lucru se poate întâmpla prin trimiterea unui volum ridicat de solicitări HTTP care să producă o sarcină excesivă pe serverele la distanță.
Aspecte esențiale
| Acțiuni recomandate | Acțiuni nerecomandate |
| Testează în detaliu codul și SDK-urile terță parte pentru eventuala folosire abuzivă a rețelei. | Nu ascunde și nu încorpora cod care generează un volum mare de trafic sau solicitări în rețea. |
| Asigură-te că toate solicitările în rețea de la aplicație sunt legitime și necesare pentru funcționalitatea acesteia. | Nu include funcționalități care pot fi activate de la distanță pentru a ataca sisteme externe. |
Instrumente de descărcare ostile
Rezumatul politicii
Google Play interzice „instrumentele de descărcare de aplicații potențial dăunătoare”, adică aplicațiile care descarcă alte programe software nedorite pentru dispozitive mobile (MUwS). O aplicație este semnalată ca instrument de descărcare de aplicații potențial dăunătoare dacă se consideră că a fost concepută pentru a răspândi MUwS sau dacă cel puțin 5 % dintre descărcările sale sunt considerate MUwS. Această politică nu se aplică browserelor principale sau aplicațiilor de trimitere de fișiere, atât timp cât acestea descarcă software doar cu consimțământul explicit și la inițiativa utilizatorului. Citește politica în întregime pentru a asigura conformitatea.
Cod care nu este dăunător în sine, dar descarcă alte APD.
Codul poate fi un instrument de descărcare ostil dacă:
- aveți motive să credeți că a fost creat să distribuie APD și a descărcat APD sau conține cod care poate să descarce și să instaleze aplicații;
- cel puțin 5 % din aplicațiile descărcate de el sunt APD, cu un prag minim de 500 de descărcări de aplicații observate (25 de descărcări APD observate).
Browserele și aplicațiile de trimitere de fișiere importante nu sunt considerate instrumente de descărcare ostile dacă:
- nu determină descărcări în lipsa unei interacțiuni cu utilizatorul;
- toate descărcările APD sunt inițiate de utilizatori care își dau consimțământul.
Aspecte esențiale
| Acțiuni recomandate | Acțiuni nerecomandate |
| Asigură-te că aplicația nu include cod care răspândește MUwS. | Nu include în aplicație cod care răspândește MUwS. |
| Monitorizează descărcările pentru a rămâne cu mult sub pragul de 5 % MUwS. | Nu depăși pragul de 5 % pentru MUwS (25 de software-uri nedorite pentru dispozitive mobile la 500 de descărcări). |
| Asigură-te că toate descărcările de aplicații sunt inițiate de un utilizator care își dă consimțământul dacă scopul aplicației este să descarce alte fișiere (cum ar fi un browser sau o aplicație de trimitere de fișiere). | Nu include funcții care declanșează descărcări de aplicații fără interacțiunea explicită a utilizatorului dacă scopul aplicației este să descarce alte fișiere (cum ar fi un browser sau o aplicație de trimitere de fișiere). |
Amenințare non-Android
Cod care conține amenințări non-Android.
Aceste aplicații nu pot dăuna utilizatorului sau dispozitivului Android, dar conțin componente care pot dăuna altor platforme.
Phishing
Rezumatul politiciiTrebuie să elimini orice cod care desfășoară activități de phishing, solicitând în mod înșelător datele de conectare sau informațiile de facturare ale unui utilizator și trimițându-le unei terțe părți. Citește politica în întregime pentru a asigura conformitatea.
Cod care pretinde că provine dintr-o sursă de încredere, solicită datele de conectare sau informațiile de facturare ale utilizatorului și trimite datele unei terțe părți. Această categorie se aplică și pentru codul care interceptează datele de conectare ale utilizatorilor transmise în flux.
Printre obiectivele frecvente ale phishingului se numără datele de conectare pentru operațiuni bancare, numerele cardurilor de credit și datele de conectare la conturi online de pe rețele sociale și pentru jocuri.
Aspecte esențiale
| Acțiuni recomandate | Acțiuni nerecomandate |
| Folosește API-uri oficiale și metode securizate pentru a gestiona datele de conectare și informațiile de plată ale utilizatorilor. | Nu uzurpa identitatea unei surse de încredere pentru a păcăli utilizatorii să ofere date cu caracter personal sau financiare. |
| Asigură-te că toate datele utilizatorilor sunt transmise în siguranță și nu pot fi citite de terți. | Nu intercepta și nu colecta date de conectare sau informații sensibile ale utilizatorilor fără consimțământ. |
| Oferă transparență utilizatorilor cu privire la datele pe care le soliciți și motivul asociat. | Nu trimite informații sensibile ale utilizatorilor unei terțe părți fără informarea corespunzătoare a utilizatorului și consimțământ explicit. |
Abuzul de privilegiile de nivel superior
Rezumatul politiciiPentru a evita încălcările prin folosirea abuzivă a privilegiilor de nivel superior, aplicația nu trebuie să conțină cod care obține privilegii de nivel superior sau exploatează mediul de testare de siguranță Android. Aici este inclus codul care fură date de conectare din alte aplicații, eludează modelul de permisiuni Android sau dezactivează funcțiile de siguranță de bază. Aplicația trebuie să respecte și controlul utilizatorului asupra propriului dispozitiv. Citește politica în întregime pentru a asigura conformitatea.
Cod care compromite integritatea sistemului prin spargerea mediului de testare al aplicației, obținând privilegii de nivel superior sau modificând ori dezactivând accesul la funcțiile de securitate de bază.
Printre exemple se numără:
- aplicațiile care încalcă modelul de permisiuni Android sau fură datele de conectare (de exemplu, indicativele OAuth) din alte aplicații;
- aplicațiile care abuzează de funcții pentru a împiedica dezinstalarea sau oprirea acestora;
- aplicațiile care dezactivează SELinux.
Aplicațiile de escaladare a privilegiului care trec dispozitivele în modul root fără permisiunea utilizatorului sunt clasificate ca aplicații care fac rooting.
Aspecte esențiale
| Acțiuni recomandate | Acțiuni nerecomandate |
| Dezvoltă cod care respectă modelul de permisiuni Android. | Nu crea aplicații care compromit sistemul prin exploatarea mediului de testare al aplicației. |
| Proiectează aplicația astfel încât să funcționeze cu privilegii de utilizator standard. | Nu scrie cod care împiedică dezinstalarea aplicației unui utilizator. |
Ransomware
Ransomware-ul este un software rău intenționat care sechestrează dispozitivul sau datele unui utilizator, solicitând o plată sau o acțiune pentru a restabili controlul. Nu trebuie să blochezi accesul utilizatorilor, să criptezi datele sau să împiedici dezinstalarea. Această politică protejează utilizatorii împotriva extorcării. Citește politica în întregime pentru a asigura conformitatea.
Cod care preia controlul parțial sau extins asupra unui dispozitiv sau asupra datelor de pe un dispozitiv și care cere utilizatorului să facă o plată sau să realizeze o acțiune în schimbul deblocării.
Unele programe ransomware criptează date de pe dispozitiv și solicită plata pentru decriptarea datelor și/sau folosesc funcțiile administrative ale dispozitivului în așa fel încât să nu poată fi eliminate de un utilizator obișnuit. Printre exemple se numără:
- blocarea accesului utilizatorului la dispozitiv și solicitarea unei sume de bani pentru restabilirea controlului utilizatorului;
- criptarea datelor de pe dispozitiv și solicitarea unei plăți, în aparență pentru decriptarea datelor;
- folosirea funcțiilor managerului de politici al dispozitivului și blocarea eliminării de către utilizator.
Codul distribuit împreună cu dispozitivul, al cărui scop principal este gestionarea subvenționată a dispozitivului, poate fi exclus din categoria programelor ransomware, cu condiția să îndeplinească cerințele pentru blocarea și gestionarea sigură și cerințele privind informarea și consimțământul adecvate ale utilizatorului.
Aspecte esențiale
| Acțiuni recomandate | Acțiuni nerecomandate |
| Asigură-te că în codul aplicației nu există funcții de ransomware rău intenționate. | Nu cripta datele utilizatorilor și nu bloca accesul acestora la dispozitiv. |
| Obține consimțământul explicit al utilizatorului pentru orice funcții de gestionare a dispozitivelor. | Nu folosi funcțiile de administrator al dispozitivului pentru a bloca dezinstalarea. |
| Oferă-le utilizatorilor o modalitate clară și simplă de a elimina aplicația. | Nu solicita plăți sau acțiuni pentru restabilirea controlului asupra dispozitivului. |
Trecerea în modul root
Google Play permite trecerea dispozitivului în modul root fără rea intenție, dar interzice codul care trece dispozitivul în modul root rău intenționat. Trebuie să informezi utilizatorii în prealabil despre trecerea dispozitivului în modul root și să te asiguri că aplicația nu realizează alte acțiuni dăunătoare. Scopul este să te asiguri că utilizatorii își dau consimțământul pentru această modificare importantă a dispozitivului și nu sunt expuși la alte comportamente rău intenționate. Citește politica în întregime pentru a asigura conformitatea.
Cod care trece dispozitivul în modul root.
Există o diferență între codul care trece dispozitivul în modul root rău intenționat și cel care nu este rău intenționat. De exemplu, aplicațiile care trec dispozitivele în modul root, dar nu sunt rău intenționate anunță în avans utilizatorul că vor face acest lucru și nu fac alte acțiuni potențial dăunătoare care se aplică altor categorii de APD.
Aplicațiile care trec dispozitivele în modul root și sunt rău intenționate nu informează utilizatorul că vor face acest lucru sau îl informează în avans, dar fac și alte acțiuni care se aplică altor categorii de APD.
Aspecte esențiale
| Acțiuni recomandate | Acțiuni nerecomandate |
| Informează utilizatorii în prealabil că aplicația va trece dispozitivul în modul root. | Nu trece un dispozitiv în modul root fără a informa utilizatorul. |
| Obține consimțământul explicit al utilizatorului înainte de a trece dispozitivul în modul root. | Nu face alte acțiuni dăunătoare într-o aplicație care trece dispozitive în modul root. |
| Confirmă că orice cod al aplicației nu determină alte comportamente rău intenționate. | Nu folosi cod de trecere a dispozitivului în modul root pentru a ascunde alte funcționalități rău intenționate. |
Spam
Spyware
Rezumatul politicii
Google Play interzice colectarea rău intenționată sau trimiterea datelor utilizatorului sau de pe dispozitiv. Indiferent de consimțământul utilizatorului sau divulgare, colectarea și trimiterea datelor trebuie să aibă legătură cu funcționalitatea conformă politicilor. Citește politica în întregime pentru a asigura conformitatea.
Spyware-ul reprezintă aplicații, cod sau comportament rău intenționat care colectează, preia sau trimite date privind utilizatorii sau dispozitivele care nu au legătură cu funcționalitatea ce respectă politica.
Codul sau comportamentul rău intenționat care poate fi considerat spionaj sau care preia date fără notificare sau consimțământ adecvat este privit tot ca spyware.
De exemplu, între încălcările legate de spyware se numără:
- înregistrarea de conținut audio sau apeluri către telefon;
- furtul de date din aplicații;
- o aplicație cu cod terță parte rău intenționat (de exemplu, un SDK) ce transmite date de pe dispozitiv într-un mod neașteptat pentru utilizator și/sau fără notificare sau consimțământ adecvat.
Toate aplicațiile trebuie să respecte Politicile de produs Google Play pentru dezvoltatori, inclusiv politicile de date privind utilizatorii și dispozitivele, precum Software-ul nedorit pentru dispozitive mobile, Datele utilizatorilor, Permisiunile și API-urile care accesează informații sensibile și Cerințele privind SDK-urile.
Aspecte esențiale
| Acțiuni recomandate | Acțiuni nerecomandate |
| Afișează o notificare clară și obține consimțământul explicit al utilizatorului înainte de orice colectare sau transmitere a datelor. | Nu permite SDK-urilor terță parte din aplicație să înregistreze conținut audio, apeluri sau să obțină date ale aplicației fără consimțământul explicit al utilizatorului și fără funcții conforme cu politicile. |
| Implementează înregistrarea și auditarea eficiente pentru accesarea și transmiterea datelor prin toate SDK-urile terță parte, pentru a detecta și a remedia problemele legate de extragerea neautorizată a datelor. | Nu participa la colectarea ascunsă de date sau colectarea mai multor date decât cele necesare aplicației pentru funcția sa declarată. |
| Asigură-te că SDK-urile integrate în aplicație colectează numai datele minime necesare și că scopul sau comportamentul acestora nu fac ca aplicația să încalce politicile Google Play. | Nu include în aplicație SDK-uri terță parte care transmit date în moduri neașteptate sau fără consimțământul corespunzător. |
| Nu presupune că SDK-urile terță parte folosite în practicile tale de colectare a datelor din aplicație sunt conforme fără o examinare detaliată. |
Troian
Un troian este un cod care conține o componentă ascunsă, rău intenționată. Această politică interzice aplicațiile care fac acțiuni nedorite împotriva utilizatorului fără știrea acestuia. Ca dezvoltator, trebuie să te asiguri că orice cod al aplicației tale este transparent și lipsit de funcționalități ascunse sau dăunătoare. Citește politica în întregime pentru a asigura conformitatea.
Cod care pare inofensiv, de exemplu, un joc care se prezintă ca un simplu joc, dar care realizează acțiuni nedorite împotriva utilizatorului.
Această clasificare este, de obicei, folosită în combinație cu alte categorii de aplicații potențial dăunătoare. Troienii au o componentă inofensivă și o componentă dăunătoare ascunsă. De exemplu, un joc care trimite în fundal mesaje SMS premium de pe dispozitivul utilizatorului, fără ca acesta să știe.
Aspecte esențiale
| Acțiuni recomandate | Acțiuni nerecomandate |
| Asigură-te că orice cod al aplicației este transparent și își îndeplinește scopul declarat. | Nu ascunde funcții rău intenționate într-o aplicație care pare inofensivă. |
| Confirmă că toate funcționalitățile aplicației sunt dezvăluite utilizatorului. | Nu face acțiuni în fundal fără știrea și consimțământul explicit al utilizatorului. |
| Asigură-te că toate SDK-urile terță parte incluse sunt sigure și nu au comportamente ascunse. | Nu denatura adevărul privind scopul aplicației pentru a păcăli utilizatorii. |
Notă despre aplicațiile neobișnuite
Dacă Google Play Protect nu are suficiente informații pentru a verifica nivelul de siguranță al noii aplicații, aceasta poate fi clasificată drept „neobișnuită”. Această stare nu înseamnă că aplicația este dăunătoare, ci că necesită examinare suplimentară. Citește politica în întregime pentru a asigura conformitatea.
Aspecte esențiale
| Acțiuni recomandate | Acțiuni nerecomandate |
| Oferă informații complete și corecte în înregistrarea aplicației. | Nu ascunde funcții și nu folosi cod obscurizat. |
| Asigură-te că orice cod al aplicației este clar și bine documentat pentru examinare. | Nu folosi biblioteci terță parte neverificate. |
Notă despre categoria backdoor
Un backdoor este un cod care permite comportamentul rău intenționat. Dacă încărcarea dinamică a codului este folosită pentru a face acțiuni dăunătoare, aplicația ta va încălca politicile. Trebuie să te asiguri că prin codul aplicației nu se activează funcții ascunse sau rău intenționate. Dacă se detectează o vulnerabilitate fără rea intenție, ți se va solicita să o corectezi. Citește politica în întregime pentru a asigura conformitatea.
Împărțirea pe categorii a programelor malware backdoor se face în funcție de comportamentul codului. O condiție necesară pentru ca un cod să fie clasificat drept backdoor este ca acesta să aibă un comportament care l-ar plasa într-una dintre celelalte categorii de programe malware, dacă se execută automat. De exemplu, dacă o aplicație permite încărcarea dinamică a codului și codul încărcat dinamic extrage mesaje text, aceasta va fi clasificată drept program malware backdoor.
Însă, dacă o aplicație permite executarea de cod arbitrar și nu avem niciun motiv să credem că această executare de cod a fost adăugată pentru a avea un comportament rău intenționat, aplicația va fi tratată ca și cum ar avea o vulnerabilitate, nu ca și cum ar fi un program malware backdoor, iar dezvoltatorului i se va solicita să creeze o corecție.
Aspecte esențiale
| Acțiuni recomandate | Acțiuni nerecomandate |
| Testează riguros orice cod care permite executarea dinamică. | Nu folosi încărcarea dinamică a codului pentru a face acțiuni ascunse, rău intenționate. |
| Asigură-te că în codul aplicației nu există vulnerabilități care ar putea fi exploatate. | Nu permite executarea de cod arbitrar fără verificări de securitate atente. |
| Corectează prompt orice vulnerabilități de securitate descoperite în aplicație. | Nu folosi biblioteci terță parte neverificate care ar putea activa un backdoor. |
Riskware
Riskware-ul este o aplicație care folosește tehnici de sustragere pentru a ascunde funcții rău intenționate. Acesta pretinde a fi o aplicație legitimă, folosind metode precum obscurizarea sau încărcarea dinamică a codului pentru a dezvălui ulterior conținut dăunător. Trebuie să te asiguri că aplicația ta este transparentă și nu folosește astfel de tehnici pentru a păcăli examinatorii sau utilizatorii. Citește politica în întregime pentru a asigura conformitatea.
O aplicație care folosește diverse tehnici de sustragere pentru a-i oferi utilizatorului funcții diferite sau false ale aplicației. Aceste aplicații pretind a fi aplicații sau jocuri legitime pentru a părea inofensive în magazinele de aplicații și pentru utilizatori, apoi folosesc tehnici precum obscurizarea, încărcarea dinamică a codului sau deghizarea pentru a afișa conținut rău intenționat.
Riskware-ul este similar altor categorii de APD, mai ales troienilor, diferența principală constând în tehnicile folosite pentru a obscuriza activitatea rău intenționată.
Aspecte esențiale
| Acțiuni recomandate | Acțiuni nerecomandate |
| Asigură-te că orice cod al aplicației este clar și ușor de verificat. | Nu folosi obscurizarea sau deghizare pentru a ascunde funcționalitatea. |
| Asigură transparență ceea ce privește toate funcțiile aplicației. | Nu folosi încărcarea dinamică a codului pentru a difuza conținut rău intenționat. |
| Dezvăluie toate funcționalitățile în descrierea aplicației. | Nu aduce modificări comportamentului aplicației pentru examinatori față de utilizatorii obișnuiți. |
Help us improve this policy article by taking a 2-minute survey.