Limitazione di responsabilità: i riepiloghi delle Norme e le Considerazioni principali sono solo delle panoramiche; ai fini della conformità fai sempre riferimento alle Norme complete. Le Norme complete hanno la precedenza in caso di conflitto.
Per mantenere un ecosistema Android sicuro, Google Play vieta qualsiasi codice dannoso, inclusi gli SDK di terze parti integrati nelle app, che potrebbero mettere a rischio gli utenti, i relativi dati o i dispositivi. Consulta le norme complete per garantire la conformità.
App o codice di terze parti (ad esempio, un SDK) con linguaggi interpretati (JavaScript, Python, Lua e così via) caricati in fase di runtime (ad esempio, non inclusi nell'app) non devono consentire potenziali violazioni delle norme di Google Play.
Sebbene siano diversi per tipologia e capacità, i malware in genere hanno uno dei seguenti obiettivi:
- Compromettere l'integrità del dispositivo dell'utente.
- Assumere il controllo del dispositivo dell'utente.
- Attivare operazioni controllate a distanza affinché un utente malintenzionato possa accedere, utilizzare o altrimenti sfruttare un dispositivo infetto.
- Trasmettere dati personali o credenziali dal dispositivo senza adeguata comunicazione e senza il consenso dell'utente.
- Diffondere spam o comandi dal dispositivo infetto per colpire altri dispositivi o reti.
- Defraudare l'utente.
La modifica di un framework, un programma binario o un'app può essere potenzialmente pericolosa e pertanto generare comportamenti dannosi, anche in modo non intenzionale. Ciò avviene perché le modifiche di framework, programmi binari o app possono dar luogo a funzionamenti diversi in base a una serie di variabili. Pertanto, ciò che è dannoso per un dispositivo Android potrebbe non porre alcun rischio per un altro. Ad esempio, un dispositivo con la versione più recente di Android non è interessato da app dannose che utilizzano API deprecate per eseguire comportamenti dannosi, ma un dispositivo con una delle prime versioni di Android potrebbe essere a rischio. Modifiche di app, programmi binari o framework vengono segnalate come malware o app potenzialmente dannose se rappresentano un rischio evidente per alcuni o per tutti i dispositivi Android e gli utenti.
Le categorie di malware indicate di seguito riflettono la nostra profonda convinzione secondo cui gli utenti dovrebbero capire come il loro dispositivo viene sfruttato e contribuire alla sicurezza di un ecosistema che garantisca innovazioni valide e un'esperienza utente affidabile.
Visita Google Play Protect per maggiori informazioni.
Considerazioni principali
| Cosa fare | Cosa non fare |
| Esamina attentamente tutto il codice della tua app, inclusi gli SDK di terze parti, per assicurarti che non presenti comportamenti simili a quelli di malware come spyware, trojan o phishing, anche involontariamente. | Non integrare codice che abusa di privilegi elevati per compromettere l'integrità del sistema, esegue il rooting dei dispositivi senza il consenso e la consapevolezza espliciti dell'utente o utilizza tecniche di maskware per evitare il rilevamento di comportamenti dannosi. |
| Valuta la possibilità di utilizzare strumenti per verificare la presenza di vulnerabilità di sicurezza o backdoor che consentono operazioni remote indesiderate. | Non utilizzare SDK di terze parti che raccolgono e trasmettono dati personali a scopo di monitoraggio senza un'adeguata informativa e un adeguato consenso da parte dell'utente (ad es. stalkerware). Non incorporare codice che causi pratiche di fatturazione ingannevoli che riguardano SMS, chiamate o frodi tariffarie. |
| Assicurati che gli SDK di terze parti non raccolgano e/o esfiltrino dati utente senza una funzionalità conforme alle norme e/o senza un adeguato preavviso o consenso (spyware). | Non utilizzare SDK di terze parti che eseguono attacchi Denial of Service o fungono da downloader ostile. |
| Assicurati che la tua app non includa SDK di terze parti che violano il modello di autorizzazioni Android ottenendo privilegi elevati tramite l'accesso ai dati del dispositivo per uno scopo non dichiarato. |
Backdoor
Per proteggere i tuoi utenti, devi rimuovere qualsiasi codice che funge da backdoor, ovvero un codice che facilita operazioni controllate a distanza, indesiderate e potenzialmente dannose su un dispositivo. Consulta le norme complete per garantire la conformità.
Codice che consente l'esecuzione su un dispositivo di operazioni controllate a distanza, indesiderate e potenzialmente dannose.
Queste operazioni potrebbero includere un comportamento che, se eseguito automaticamente, determinerebbe l'inclusione della modifica a framework, programmi binari o app in una delle altre categorie di malware. In generale, con il termine backdoor si descrive la modalità con cui un'operazione potenzialmente dannosa può verificarsi su un dispositivo, pertanto il termine non corrisponde esattamente a categorie quali frode di fatturazione o spyware commerciale. Conseguentemente, un sottoinsieme di backdoor, in determinate circostanze, viene considerato da Google Play Protect come una vulnerabilità.
Considerazioni principali
| Cosa fare | Cosa non fare |
| Testa attentamente il codice dell'app e tutte le librerie di terze parti per verificare che non vi siano funzionalità di controllo remoto nascoste. | Non includere funzionalità nascoste che potrebbero essere sfruttate per danneggiare gli utenti. |
| Proteggi tutti gli endpoint di esecuzione da remoto da accessi non autorizzati. | Non offuscare il codice per nascondere la funzionalità di accesso remoto. |
| Correggi immediatamente le vulnerabilità di sicurezza note nella tua app. | Non ignorare gli avvisi relativi a potenziali vulnerabilità nelle dipendenze. |
Frode di fatturazione
Per evitare una fatturazione fraudolenta, devi rimuovere qualsiasi codice che effettua addebiti agli utenti in modo ingannevole senza il loro consenso esplicito, ad esempio attraverso SMS fraudolenti, chiamate fraudolente e frodi tariffarie, che inducono gli utenti a effettuare pagamenti o a sottoscrivere abbonamenti indesiderati. Consulta le norme complete per garantire la conformità.
Codice che effettua addebiti automatici agli utenti in modo intenzionalmente ingannevole.
La fatturazione fraudolenta su dispositivi mobili può essere costituita da: frode tariffaria, SMS fraudolento o chiamata fraudolenta.
SMS fraudolento
Codice che effettua addebiti agli utenti per l'invio di SMS premium senza il loro consenso o che cerca di camuffare le sue attività SMS nascondendo gli accordi di divulgazione o gli SMS dell'operatore di telefonia mobile che informano gli utenti degli addebiti o che confermano gli abbonamenti.
Anche se tecnicamente comunicano il comportamento di invio degli SMS, alcuni di questi codici introducono un comportamento aggiuntivo che consente l'SMS fraudolento. Ecco alcuni esempi: nascondere parti di un accordo di divulgazione agli utenti o renderle illeggibili ed eliminare condizionalmente gli SMS dell'operatore di telefonia mobile che informano gli utenti degli addebiti o confermano un abbonamento.
Chiamata fraudolenta
Codice che effettua addebiti agli utenti chiamando numeri a pagamento senza il consenso degli utenti.
Frode tariffaria
Codice che induce con l'inganno gli utenti ad abbonarsi a contenuti o ad acquistarli tramite il loro conto telefonico.
La frode tariffaria include qualsiasi tipo di fatturazione ad eccezione di SMS premium e chiamate premium. Tra gli esempi rientrano la fatturazione diretta con l'operatore, il protocollo WAP (Wireless Application Protocol) e il trasferimento di credito tra dispositivi mobili. L'attività fraudolenta WAP è uno dei tipi di frode tariffaria più diffusi, che include ad esempio indurre con l'inganno gli utenti a fare clic su un pulsante in una WebView trasparente caricata in modo invisibile. Questa azione avvia un abbonamento ricorrente e l'email o l'SMS di conferma vengono spesso compromessi per evitare che gli utenti si accorgano della transazione finanziaria.
Considerazioni principali
| Cosa fare | Cosa non fare |
| Ottieni il consenso esplicito e inequivocabile degli utenti prima di avviare qualsiasi transazione finanziaria. | Non nascondere o camuffare le informazioni relative ad addebiti o abbonamenti. |
| Assicurati che tutte le informative sulla fatturazione siano chiare, trasparenti e ben visibili all'utente. | Non utilizzare visualizzazioni web nascoste, inviare automaticamente SMS premium o effettuare chiamate senza consenso. |
| Invia tutte le notifiche di fatturazione con l'operatore all'utente | Non utilizzare metodi come la fatturazione diretta con l'operatore per indurre gli utenti ad abbonarsi. |
Stalkerware
Riepilogo delle norme
Google Play vieta alle app di monitorare un'altra persona raccogliendo e trasmettendo dati personali e sensibili dell'utente, a meno che l'app non sia progettata e commercializzata esclusivamente per permettere ai genitori di monitorare i figli o al gestore aziendale di monitorare i singoli dipendenti, a condizione che soddisfi completamente requisiti rigorosi. Consulta le norme complete per garantire la conformità.
Codice che raccoglie dati utente personali o sensibili da un dispositivo e li trasmette a una terza parte (un'azienda o un privato) a fini di monitoraggio.
Le app devono contenere un'informativa ben visibile adeguata e ottenere il consenso come richiesto dalle norme relative ai dati utente.
Linee guida per le applicazioni di monitoraggio
Purché soddisfino completamente i requisiti descritti di seguito, le app progettate e commercializzate esclusivamente per il monitoraggio di un'altra persona, ad esempio per il monitoraggio dei figli da parte dei genitori o per il monitoraggio di singoli dipendenti da parte dei responsabili aziendali, sono le uniche app di monitoraggio accettabili. Queste app non possono essere utilizzate per monitorare altre persone (ad esempio il coniuge) anche se con il loro consenso e la loro autorizzazione, a prescindere dalla visualizzazione di una notifica persistente. Per poter essere classificate in modo appropriato come app di monitoraggio, queste app devono usare il flag dei metadati IsMonitoringTool nel proprio file manifest.
Le app di monitoraggio devono soddisfare i seguenti requisiti:
- Le app non devono essere presentate come soluzioni per spionaggio o sorveglianza segreta.
- Le app non devono nascondere o mascherare il comportamento di monitoraggio oppure tentare di ingannare gli utenti in merito a questa funzionalità.
- Le app devono presentare agli utenti una notifica persistente per tutto il tempo in cui sono in esecuzione e un'icona univoca che le identifichi chiaramente.
- Le app devono comunicare la funzionalità di monitoraggio o tracciamento nella descrizione del Google Play Store.
- Le app e le relative schede su Google Play non devono consentire in alcun modo di attivare o accedere a funzionalità che violano i presenti termini, ad esempio link che rimandano a un APK non conforme non ospitato su Google Play.
- Le app devono rispettare tutte le leggi applicabili. È tua esclusiva responsabilità determinare la legalità della tua app nelle località di destinazione.
Considerazioni principali
| Cosa fare | Cosa non fare |
| Commercializza la tua app esclusivamente per l'uso da parte di genitori o per la gestione aziendale. | Non commercializzare l'app come soluzione di spionaggio o sorveglianza. |
Includi il flag IsMonitoringTool nel manifest. |
Non tracciare altri adulti, compresi i coniugi, anche con il loro permesso. |
| Fai in modo che vengano visualizzate una notifica persistente e un'icona univoca durante l'esecuzione. | Non nascondere, mascherare o ingannare gli utenti in merito al comportamento di monitoraggio. |
| Dichiara tutte le funzionalità di monitoraggio nella descrizione dello store. | Non fornire collegamenti ad APK non conformi ospitati al di fuori di Google Play. |
| Fornisci un'informativa ben visibile adeguata e ottieni il consenso. | Non fornire mezzi per attivare funzionalità che violano questi termini. |
Denial of service (DoS)
Per proteggere la tua app e altri sistemi, devi rimuovere qualsiasi codice che, a insaputa dell'utente, attacchi altri sistemi o generi un carico di rete eccessivo. Consulta le norme complete per garantire la conformità.
Codice che, a insaputa dell'utente, esegue un attacco denial of service (DoS) o fa parte di un attacco DoS distribuito contro altri sistemi e risorse.
Ad esempio, l'attacco potrebbe consistere nell'invio di un volume elevato di richieste HTTP per sovraccaricare server remoti.
Considerazioni principali
| Cosa fare | Cosa non fare |
| Testa attentamente il codice e gli SDK di terze parti per assicurarti che non si verifichino abusi della rete. | Non nascondere o incorporare codice che genera un volume elevato di traffico o richieste di rete. |
| Assicurati che tutte le richieste di rete della tua app siano legittime e necessarie per la sua funzionalità. | Non includere funzionalità che possono essere attivate da remoto per attaccare sistemi esterni. |
Downloader ostili
Google Play vieta i "downloader ostili", ossia le app che scaricano un altro software mobile indesiderato. Un'app viene contrassegnata come downloader ostile se si ritiene che sia progettata per diffondere software mobile indesiderato o se almeno il 5% dei relativi download è identificato come software mobile indesiderato. Questa norma non si applica ai principali browser o alle app di condivisione di file, a condizione che scarichino software solo se la procedura è avviata dall'utente e questi ha dato il suo esplicito consenso. Consulta le norme complete per garantire la conformità.
Codice che non è potenzialmente dannoso di per sé, ma che scarica altre app potenzialmente dannose.
Il codice potrebbe essere un downloader ostile se:
- Esiste motivo di ritenere che sia stato creato per diffondere app potenzialmente dannose e che abbia scaricato tali app o che contenga codice che potrebbe scaricare e installare app; oppure
- Almeno il 5% delle app scaricate dal codice è formato da app potenzialmente dannose con una soglia minima di 500 download di app osservate (25 download di app potenzialmente dannose osservate).
I principali browser e app per la condivisione di file non sono considerati downloader ostili se:
- Non favoriscono download senza interazione dell'utente; e
- Tutti i download di app potenzialmente dannose vengono attivati da utenti consenzienti.
Considerazioni principali
| Cosa fare | Cosa non fare |
| Assicurati che la tua app non includa codice che diffonda software mobile indesiderato. | Non includere nell'app codice che diffonda software mobile indesiderato. |
| Monitora i download per rimanere ben al di sotto della soglia di software mobile indesiderato del 5%. | Non superare la soglia del 5% di software mobile indesiderato (25 software mobile indesiderati ogni 500 download). |
| Se lo scopo della tua app è scaricare altri file (come potrebbe essere per un browser o una piattaforma di condivisione file), assicurati che tutti i download di app vengano avviati previo consenso dell'utente. | Se lo scopo della tua app è scaricare altri file (come potrebbe essere per un browser o una piattaforma di condivisione file), non includere funzionalità che avviano download di app senza un'interazione utente esplicita. |
Minaccia non Android
Codice contenente minacce non Android.
Queste app non possono danneggiare l'utente o il dispositivo Android, ma contengono componenti potenzialmente dannosi per altre piattaforme.
Phishing
Devi rimuovere qualsiasi codice che esegue attività di phishing richiedendo in modo ingannevole le credenziali o i dati di fatturazione di un utente e inviandoli a una terza parte. Consulta le norme complete per garantire la conformità.
Codice che finge di provenire da una fonte affidabile, richiede le credenziali per l'autenticazione o i dati di fatturazione dell'utente e invia tali dati a una terza parte. Questa categoria, inoltre, si applica al codice che intercetta la trasmissione delle credenziali dell'utente in transito.
Tra gli obiettivi di phishing comuni, credenziali bancarie, numeri di carte di credito e credenziali di account online per social network e giochi.
Considerazioni principali
| Cosa fare | Cosa non fare |
| Utilizza API ufficiali e metodi sicuri per gestire le credenziali utente e i dati di pagamento. | Non impersonare una fonte attendibile per indurre gli utenti a fornire dati personali o finanziari. |
| Assicurati che tutti i dati utente vengano trasmessi in modo sicuro e non siano leggibili da terze parti. | Non intercettare o raccogliere credenziali utente o informazioni sensibili senza consenso. |
| Sii trasparente con gli utenti in merito ai dati che richiedi e al motivo. | Non inviare informazioni utente sensibili a terze parti senza un'informativa adeguata e un consenso esplicito dell'utente. |
Abuso di privilegio elevato
Per evitare violazioni relative all'abuso di privilegi elevati, la tua app non deve contenere codice che ottiene privilegi elevati o viola la sandbox di sicurezza di Android. Sono compresi i casi in cui il codice sottrae le credenziali da altre app, aggira il modello di autorizzazioni Android o disattiva le funzionalità di sicurezza principali. La tua app deve anche rispettare il controllo dell'utente sul suo dispositivo. Consulta le norme complete per garantire la conformità.
Codice che compromette l'integrità del sistema violando la sandbox dell'app, ottenendo privilegi elevati o modificando o disattivando l'accesso alle principali funzioni correlate alla sicurezza.
Tra gli esempi possibili:
- Un'app che viola il modello di autorizzazioni Android o sottrae le credenziali (ad esempio, i token OAuth) da altre app.
- App che abusano di funzionalità per evitare di essere disinstallate o arrestate.
- Un'app che disattiva SELinux.
Le app di escalation dei privilegi che eseguono il rooting dei dispositivi senza l'autorizzazione dell'utente sono classificate come app di rooting.
Considerazioni principali
| Cosa fare | Cosa non fare |
| Sviluppa codice che rispetti il modello di autorizzazioni Android. | Non creare app che compromettono il sistema violando la sandbox dell'app. |
| Progetta la tua app in modo che funzioni con privilegi utente standard. | Non scrivere codice che impedisca la disinstallazione dell'app di un utente. |
Ransomware
Riepilogo delle norme
Il ransomware è un software dannoso che prende in ostaggio il dispositivo o i dati di un utente, esigendo un pagamento o un'azione per ripristinare il controllo. Non devi bloccare gli utenti, criptare i dati o impedire la disinstallazione. Questa norma protegge gli utenti dall'estorsione. Consulta le norme complete per garantire la conformità.
Codice che assume il controllo parziale o totale di un dispositivo o dei dati su un dispositivo ed esige dall'utente un pagamento o un'azione per rilasciare il controllo.
Alcuni tipi di ransomware criptano i dati sul dispositivo ed esigono un pagamento per decriptare i dati e/o sfruttano le funzionalità di amministratore del dispositivo in modo che il ransomware non possa essere rimosso da un utente medio. Tra gli esempi possibili:
- Impedire all'utente di accedere al dispositivo ed esigere denaro in cambio del ripristino del controllo da parte dell'utente.
- Criptare i dati sul dispositivo ed esigere un pagamento, verosimilmente in cambio della decriptazione dei dati.
- Sfruttare le funzionalità di Gestione norme del dispositivo e bloccare la rimozione da parte dell'utente.
Eventuale codice distribuito con il dispositivo la cui finalità primaria sia la gestione di un dispositivo sovvenzionato può essere escluso dalla categoria del ransomware, a condizione che soddisfi i requisiti per la gestione e il blocco sicuri, nonché i requisiti di comunicazione e consenso adeguati da parte dell'utente.
Considerazioni principali
| Cosa fare | Cosa non fare |
| Assicurati che il codice della tua app sia privo di funzionalità ransomware dannose. | Non criptare i dati degli utenti o bloccare l'accesso al loro dispositivo. |
| Ottieni il consenso esplicito dell'utente per qualsiasi funzionalità di gestione del dispositivo. | Non utilizzare le funzionalità di amministrazione del dispositivo per bloccare la disinstallazione. |
| Fornisci agli utenti un modo chiaro e semplice per rimuovere la tua app. | Non richiedere un pagamento o un'azione per ripristinare il controllo del dispositivo. |
Rooting
Riepilogo delle norme
Google Play consente il rooting non dannoso, ma vieta l'utilizzo di codice di rooting dannoso. Devi informare gli utenti in anticipo in merito al rooting e assicurarti che la tua app non esegua altre azioni dannose. L'obiettivo è garantire che gli utenti acconsentano a questa modifica invasiva del dispositivo e non siano esposti a ulteriori comportamenti dannosi. Consulta le norme complete per garantire la conformità.
Codice che esegue il rooting del dispositivo.
C'è una differenza tra codice di rooting non dannoso e dannoso. Ad esempio, le app di rooting non dannoso consentono agli utenti di sapere in anticipo che stanno per eseguire il rooting del dispositivo e non eseguono altre azioni potenzialmente dannose che riguardano altre categorie di app potenzialmente dannose.
Le app di rooting dannoso non comunicano agli utenti che stanno per eseguire il rooting del dispositivo e non li informano anticipatamente del rooting; eseguono inoltre altre azioni che riguardano altre categorie di app potenzialmente dannose.
Considerazioni principali
| Cosa fare | Cosa non fare |
| Informa in anticipo gli utenti che la tua app eseguirà il rooting del dispositivo. | Non eseguire il rooting di un dispositivo senza informare l'utente. |
| Ottieni il consenso esplicito dell'utente prima di eseguire il rooting. | Non eseguire altre azioni dannose in un'app di rooting. |
| Verifica che il codice della tua app sia privo di altri comportamenti dannosi. | Non utilizzare il codice di rooting per nascondere altre funzionalità dannose. |
Spam
Spyware
Google Play vieta la raccolta o la condivisione dannosa dei dati utente o del dispositivo. Indipendentemente dal consenso o dalla divulgazione da parte dell'utente, la raccolta e la condivisione dei dati devono essere correlate a una funzionalità conforme alle norme. Consulta le norme complete per garantire la conformità.
Lo spyware è un'applicazione, un codice o un comportamento dannoso che raccoglie, esfiltra o condivide dati di utenti o dispositivi non correlati alla funzionalità conforme alle norme.
Sono ritenuti spyware anche codici o comportamenti dannosi che possono essere considerati come spionaggio a danno dell'utente o che esfiltrano dati senza adeguato preavviso o consenso.
Ad esempio, le violazioni degli spyware includono, a titolo esemplificativo:
- Registrazione di audio o di chiamate ricevute sul telefono.
- Furto di dati dell'app.
- Un'app con codice dannoso di terze parti (ad esempio un SDK) che trasmette dati dal dispositivo in una modalità inaspettata per l'utente e/o senza un adeguato preavviso o consenso da parte dell'utente.
Tutte le app devono inoltre rispettare tutte le Norme del programma per gli sviluppatori di Google Play, comprese le norme relative ai dati degli utenti e dei dispositivi, ad esempio quelle relative a software mobile indesiderato, dati utente, autorizzazioni e API che accedono a informazioni sensibili e requisiti relativi all'SDK.
Considerazioni principali
| Cosa fare | Cosa non fare |
| Fornisci una notifica chiara e ottieni il consenso esplicito dell'utente prima di qualsiasi raccolta o trasmissione di dati. | Non consentire agli SDK di terze parti nella tua app di registrare audio, chiamate o ottenere dati dell'app senza il consenso esplicito dell'utente e senza funzionalità conformi alle norme. |
| Implementa solidi sistemi di logging e auditing che consentano l'accesso e la trasmissione dei dati di tutti gli SDK di terze parti per rilevare e risolvere l'esfiltrazione non autorizzata dei dati. | Non raccogliere dati nascosti o più dati di quelli necessari per la funzione dichiarata dell'app. |
| Assicurati che gli SDK integrati nella tua app raccolgano solo i dati strettamente necessari e che il loro scopo o comportamento non comporti la violazione delle norme di Google Play da parte della tua app. | Non includere nella tua app SDK di terze parti che trasmettono dati in modi inaspettati o senza il consenso adeguato. |
| Non dare per scontato che gli SDK di terze parti nelle tue pratiche di raccolta dei dati dell'app siano conformi senza prima aver effettuato una revisione approfondita. |
Trojan
Riepilogo delle norme
Un trojan è un codice che contiene un componente dannoso nascosto. Questa norma vieta le app che eseguono azioni indesiderate all'insaputa dell'utente. In qualità di sviluppatore, devi assicurarti che il codice della tua app sia trasparente e privo di funzionalità nascoste e dannose. Consulta le norme complete per garantire la conformità.
Codice apparentemente innocuo, ad esempio un gioco che dichiara di essere esclusivamente tale, ma che esegue azioni indesiderate nei confronti dell'utente.
In genere questa classificazione è utilizzata insieme ad altre categorie di app potenzialmente dannose. Un trojan ha un componente innocuo e un componente dannoso nascosto. Ad esempio, un gioco che invia messaggi SMS premium dal dispositivo dell'utente in background e senza che l'utente ne sia a conoscenza.
Considerazioni principali
| Cosa fare | Cosa non fare |
| Assicurati che il codice della tua app sia trasparente e serva allo scopo dichiarato. | Non nascondere funzionalità dannose all'interno di un'app apparentemente innocua. |
| Verifica che tutte le funzionalità dell'app siano ben visibili all'utente. | Non eseguire azioni in background senza che l'utente ne sia esplicitamente a conoscenza e abbia fornito il suo consenso. |
| Assicurati che gli SDK di terze parti inclusi siano sicuri e non contengano comportamenti nascosti. | Non rappresentare in modo ingannevole lo scopo della tua app per ingannare gli utenti. |
Una nota sulle app non comuni
Riepilogo delle norme
Se Google Play Protect non dispone di informazioni sufficienti per verificare la sicurezza della tua nuova app, quest'ultima potrebbe essere classificata come "non comune". Questo stato non indica che la tua app sia dannosa, ma che è necessaria un'ulteriore revisione. Consulta le norme complete per garantire la conformità.
Considerazioni principali
| Cosa fare | Cosa non fare |
| Fornisci informazioni complete e accurate nella scheda dell'app. | Non nascondere funzionalità o utilizzare codice offuscato. |
| Assicurati che il codice della tua app sia chiaro e ben documentato per la revisione. | Non utilizzare librerie di terze parti non verificate. |
Una nota sulla categoria Backdoor
Riepilogo delle norme
Una backdoor è un codice che consente comportamenti dannosi. Se il caricamento di codice dinamico viene utilizzato per eseguire azioni dannose, la tua app sarà in violazione. Devi assicurarti che il codice dell'app non attivi funzionalità nascoste e dannose. Se viene rilevata una vulnerabilità senza intento dannoso, ti verrà chiesto di correggerla. Consulta le norme complete per garantire la conformità.
La classificazione della categoria di malware backdoor si basa sulla modalità con cui il codice agisce. Una condizione necessaria affinché un codice venga classificato come backdoor è che consenta un comportamento che, se eseguito automaticamente, determinerebbe l'inclusione del codice in una delle altre categorie di malware. Ad esempio, se un'app consente il caricamento di codice dinamico e il codice caricato dinamicamente estrae SMS, l'app verrà classificata come malware backdoor.
Tuttavia, se un'app consente l'esecuzione arbitraria di codice e non abbiamo ragione di credere che tale esecuzione sia stata aggiunta al fine di dar luogo a un comportamento malevolo, l'app verrà considerata come contenente una vulnerabilità, anziché essere definita malware backdoor, e allo sviluppatore verrà chiesto di creare una patch per l'app medesima.
Considerazioni principali
| Cosa fare | Cosa non fare |
| Testa rigorosamente qualsiasi codice che consenta l'esecuzione dinamica. | Non utilizzare il caricamento dinamico del codice per eseguire azioni nascoste e dannose. |
| Assicurati che il codice della tua app sia privo di vulnerabilità che potrebbero essere sfruttate. | Non consentire l'esecuzione di codice arbitrario senza controlli di sicurezza accurati. |
| Correggi tempestivamente eventuali vulnerabilità di sicurezza rilevate nella tua app. | Non utilizzare librerie di terze parti non verificate che potrebbero attivare una backdoor. |
Riskware
Riepilogo delle norme
Il riskware è un'app che utilizza tecniche di evasione per nascondere funzionalità dannose. Si maschera da app legittima, utilizzando metodi come l'offuscamento o il caricamento di codice dinamico per rivelare in un secondo momento contenuti dannosi. Devi assicurarti che la tua app sia trasparente e non utilizzi queste tecniche per ingannare i revisori o gli utenti. Consulta le norme complete per garantire la conformità.
Un'applicazione che utilizza una varietà di tecniche di evasione per offrire all'utente funzionalità dell'applicazione diverse o false. Queste app si mascherano da applicazioni o giochi legittimi per apparire innocue agli store e agli utenti e utilizzano tecniche quali l'offuscamento, il caricamento di codice dinamico o il cloaking per rivelare contenuti potenzialmente dannosi.
Il riskware è simile ad altre categorie di app potenzialmente dannose, in particolare ai trojan; la differenza principale sono le tecniche utilizzate per offuscare l'attività dannosa.
Considerazioni principali
| Cosa fare | Cosa non fare |
| Assicurati che il codice della tua app sia chiaro e facile da esaminare. | Non utilizzare l'offuscamento o il cloaking per nascondere funzionalità. |
| Sii trasparente su tutte le funzioni della tua app. | Non utilizzare il caricamento dinamico del codice per pubblicare contenuti dannosi. |
| Dichiara tutte le funzionalità nella descrizione dell'app. | Non modificare il comportamento della tua app per i revisori rispetto agli utenti regolari. |
Help us improve this policy article by taking a 2-minute survey.