Ansvarsfraskrivelse: Sammendrag av retningslinjer og viktige vurderinger er bare oversikter. Du bør alltid sjekke de fullstendige retningslinjene for å sikre at du overholder dem. Ved konflikter er det de fullstendige retningslinjene som gjelder.
For å opprettholde et sikkert Android-økosystem forbyr Google Play all skadelig kode, inkludert SDK-er fra tredjeparter som er integrert i apper, og som kan utsette brukere, dataene deres eller enhetene deres for fare. Du bør gjennomgå de fullstendige retningslinjene for å sikre at du overholder dem.
Skadelig programvare er all kode som kan utsette brukere og brukeres data eller enheter for risiko. Skadelig programvare inkluderer, men er ikke begrenset til, potensielt skadelige apper, binærprogrammer eller rammeverkendringer og består av kategorier som trojanske hester, nettfisking og spionprogrammer. Vi oppdaterer og legger til nye kategorier jevnlig.
Selv om skadelig programvare finnes i ulike varianter og kan ha ulik funksjonalitet, har programvaren vanligvis ett av følgende mål:
- å utsette brukeres enheter for risiko
- å få kontroll over brukeres enheter
- å legge til rette for fjernstyrte handlinger, slik at angripere kan få tilgang til, bruke eller på andre måter utnytte infiserte enheter
- å overføre personopplysninger eller legitimasjon fra enheter uten tilstrekkelig informasjon og samtykke
- å spre nettsøppel eller kommandoer fra infiserte enheter for å påvirke andre enheter eller nettverk
- å svindle brukere
Apper, binærprogrammer og rammeverkendringer kan potensielt være skadelige, og derfor kan de generere skadelig atferd, selv om dette ikke er formålet. Dette er fordi apper, binærprogrammer og rammeverkendringer kan fungere ulikt avhengig av en rekke variabler. Derfor er noe som er skadelig for én Android-enhet, ikke nødvendigvis skadelig for andre Android-enheter. Eksempel: En enhet som kjører den nyeste versjonen av Android, er ikke påvirket av skadelige apper som bruker avviklede API-er til å utføre skadelig atferd, men en enhet som fortsatt kjører en veldig tidlig versjon av Android, kan være i faresonen. Apper, binærprogrammer og rammeverkendringer merkes som skadelig programvare eller potensielt skadelige apper hvis de tydelig utgjør en risiko for enkelte eller alle Android-enheter og -brukere.
Kategoriene for skadelig programvare nedenfor gjenspeiler den grunnleggende troen vår på at brukere skal ha kunnskap om hvordan enhetene deres brukes i og fremmer et sikkert økosystem som tilrettelegger for solid innovasjon og en pålitelig brukeropplevelse.
Gå til Google Play Protect for å få mer informasjon.
Viktige vurderinger
| Gjør dette | Ikke gjør dette |
| Sjekk grundig all kode i appen din, inkludert SDK-er fra tredjeparter, for å sikre at de ikke oppfører seg som skadelig programvare, slik som spionprogrammer, trojanske hester eller phishing, selv om det er utilsiktet. | Integrer kode som misbruker overordnede rettigheter til å kompromittere systemintegritet, får rottilgang til enheter uten at brukeren kjenner til det eller samtykker uttrykkelig, eller bruker maskeringsprogramvare for å skjule skadelig atferd. |
| Vurder å bruke verktøy for å se etter sikkerhetssvakheter eller bakdører som muliggjør uønskede fjernstyrte handlinger. | Bruk SDK-er fra tredjeparter som samler inn og overfører personopplysninger for overvåking uten å opplyse eller be om samtykke til det fra brukeren (f.eks. overvåkningsprogrammer). Integrer kode som fører til villedende faktureringspraksis som involverer SMS, anrop eller gebyrsvindel. |
| Sørg for at SDK-er fra tredjeparter ikke samler inn og/eller henter ut brukerdata uten funksjonalitet som er i samsvar med retningslinjene, og/eller tilstrekkelig varsel eller samtykke (spionprogrammer). | Bruk SDK-er fra tredjeparter som utfører tjenestenektangrep (DoS) eller fungerer som skadelige nedlastere. |
| Sørg for at appen din ikke inkluderer SDK-er fra tredjeparter som bryter med Android-tillatelsesmodellen ved å få overordnede rettigheter gjennom tilgang til enhetsdata for et ikke oppgitt formål. |
Bakdører
For å beskytte brukerne dine må du fjerne all kode som fungerer som bakdør. Dette er kode som legger til rette for uønskede eller skadelige fjernstyrte handlinger. Du bør gjennomgå de fullstendige retningslinjene for å sikre at du overholder dem.
Kode som tillater at uønskede, potensielt skadelige fjernstyrte handlinger kjøres på enheter.
Disse handlingene kan inkludere atferd som plasserer appen, binærprogrammet eller rammeverkendringen i en av de andre kategoriene med skadelig programvare, hvis atferden kjøres automatisk. Generelt sett er «bakdør» en beskrivelse av hvordan en potensielt skadelig handling kan skje på enheter, og det samsvarer derfor ikke helt med kategorier som faktureringssvindel eller kommersielle spionprogrammer. Dette fører til at en undergruppe av bakdører, i enkelte tilfeller, behandles av Google Play Protect som sikkerhetsproblemer.
Viktige vurderinger
| Gjør dette | Ikke gjør dette |
| Test appkoden og alle tredjepartsbiblioteker grundig for å se etter skjulte funksjoner for fjernstyring. | Ikke ta med skjulte funksjoner eller egenskaper som kan utnyttes til å skade brukere. |
| Sikre alle endepunkter for ekstern kjøring mot uautorisert tilgang. | Ikke obfusker kode for å skjule funksjonalitet for ekstern tilgang. |
| Rett opp i kjente sikkerhetsproblemer i appen din umiddelbart. | Ikke ignorer advarsler om potensielle sårbarheter i avhengighetene dine. |
Faktureringssvindel
For å unngå faktureringssvindel må du fjerne all kode som belaster brukerne uten deres uttrykkelige samtykke. Dette omfatter SMS-svindel, anropssvindel og gebyrsvindel, som lurer brukere til å gjennomføre uønskede betalinger eller tegne uønskede abonnementer. Du bør gjennomgå de fullstendige retningslinjene for å sikre at du overholder dem.
Kode som med hensikt automatisk belaster brukere på en villedende måte.
Mobilfaktureringssvindel er delt inn i SMS-svindel, anropssvindel og gebyrsvindel.
SMS-svindel
Kode som belaster brukere for sending av SMS-er med tilleggskostnader uten brukernes samtykke, eller som prøver å kamuflere SMS-aktivitet ved å skjule avtaler om videreformidling eller SMS-er fra mobiloperatører med informasjon om belastninger eller bekreftelser av abonnementer.
Noen koder, selv om de teknisk sett videreformidler atferd tilknyttet sending av SMS-er, introduserer ytterligere atferd som tilrettelegger for SMS-svindel. Eksempler på dette er å skjule deler av en konfidensialitetsavtale fra brukerne, slik at de ikke kan leses, og betinget utelatelse av SMS-er fra mobiloperatører med informasjon om belastninger eller bekreftelser av abonnementer.
Telefonsvindel
Kode som belaster brukere ved å ringe numre med tilleggskostnader, uten samtykke fra brukerne.
Gebyrsvindel
Kode som lurer brukere til å abonnere på eller kjøpe innhold via mobilregningen.
Gebyrsvindel omfatter alle typer fakturering, med unntak av SMS-er og anrop med tilleggskostnader. Eksempler på dette inkluderer direktefakturering via telefonregning, Wireless Application Protocol (WAP) og mobiloverføringer. WAP-svindel er en av de vanligste typene gebyrsvindel. WAP-svindel kan omfatte å lure brukere til å klikke på en knapp på en gjennomsiktig WebView som er lastet inn i bakgrunnen. Når denne handlingen utføres, startes et gjentakende abonnement, og bekreftelsen via SMS eller e-post blir ofte kapret for å hindre brukerne i å legge merke til transaksjonen.
Viktige vurderinger
| Gjør dette | Ikke gjør dette |
| Innhent uttrykkelig og utvetydig samtykke fra brukerne før du starter noen finansielle transaksjoner. | Ikke skjul informasjon knyttet til kostnader eller abonnementer. |
| Sørg for at alle faktureringsopplysninger er tydelige, gjennomsiktige og godt synlige for brukeren. | Ikke bruk skjulte nettvisninger, og ikke send SMS-er med tilleggskostnader eller ring automatisk uten samtykke. |
| Send alle varsler om fakturering via telefonregning til brukeren. | Ikke bruk metoder som direktefakturering via telefonregning for å lure brukere til å abonnere. |
Overvåkningsprogrammer
Google Play forbyr apper å overvåke andre personer ved å samle inn og overføre personlige og sensitive brukerdata, med mindre appen utelukkende er utviklet og markedsført for foreldre som vil overvåke barna sine, eller for bedriftsledere som vil overvåke enkeltansatte, forutsatt at de overholder strenge krav. Du bør gjennomgå de fullstendige retningslinjene for å sikre at du overholder dem.
Kode som samler inn personopplysninger eller sensitive brukerdata fra en enhet og overfører dem til en tredjepart (bedrift eller enkeltperson) med overvåking som formål.
Appene må oppgi tilstrekkelig fremtredende informasjon og innhente samtykke som påkrevd i retningslinjene for brukerdata.
Veiledning for overvåkingsapper
Apper som bare er laget og blir markedsført som apper for overvåking av enkeltpersoner, for eksempel apper foreldre kan bruke til å overvåke barna, eller apper bedriftsledelsen kan bruke til å overvåke de ansatte, gitt at de overholder kravene nedenfor, er de eneste overvåkingsappene som godtas. Slike apper kan ikke brukes til å spore noen andre (for eksempel en ektefelle), heller ikke med vedkommendes tillatelse, uavhengig av om det vises noe vedvarende varsel. Slike apper må inkludere metadataflagget IsMonitoringTool i manifestfilen for å klassifisere seg selv som overvåkingsapper.
Overvåkingsapper må overholde disse kravene:
- Appen skal ikke presenteres som løsninger for spionasje eller hemmelig overvåking.
- Appen skal ikke skjule atferd, maskere atferd (cloaking) eller villede brukere om slik funksjonalitet.
- Appen må gi brukerne et vedvarende varsel som vises så lenge appen er åpen, og bruke et unikt ikon som tydelig identifiserer appen.
- Appen må opplyse om funksjoner for overvåking og sporing i beskrivelsen i Google Play-butikken.
- Appen og appoppføringen på Google Play skal ikke på noen måte aktivere eller bruke funksjonalitet som bryter disse vilkårene, for eksempel ved linking til APK-er utenfor Google Play som ikke overholder reglene.
- Appen må overholde eventuelle gjeldende lover. Du har hele ansvaret for å avgjøre lovligheten av appen din i lokaliteten der den skal målrettes.
Viktige vurderinger
| Gjør dette | Ikke gjør dette |
| Markedsfør appen din utelukkende for foreldre eller bedriftsadministratorer. | Markedsfør appen som en løsning for spionasje eller overvåking. |
Inkluder IsMonitoringTool-flagget i manifestet. |
Spor andre voksne, deriblant ektefeller, selv om de har gitt tillatelse. |
| Vis et vedvarende varsel og et unikt ikon når appen kjøres. | Skjul, masker eller villed brukere om sporingsatferd. |
| Opplys om all overvåkingsfunksjonalitet i beskrivelsen i butikken. | Link til ikke-kompatible APK-er utenfor Google Play. |
| Oppgi tilstrekkelig fremtredende informasjon, og innhent samtykke. | Gjør det mulig å aktivere funksjonalitet som bryter disse vilkårene. |
Tjenestenekt (DoS)
For å beskytte appen din og andre systemer må du fjerne all kode som angriper andre systemer eller genererer overdreven nettverksbelastning uten at brukeren er klar over det. Du bør gjennomgå de fullstendige retningslinjene for å sikre at du overholder dem.
Kode som, uten at brukeren er klar over det, utfører tjenestenektangrep (DoS) eller er en del av distribuerte tjenestenektangrep mot andre systemer og ressurser.
Dette kan for eksempel skje ved at det sendes mange HTTP-forespørsler for å overbelaste eksterne tjenere.
Viktige vurderinger
| Gjør dette | Ikke gjør dette |
| Test koden og SDK-ene fra tredjeparter grundig for å avdekke eventuelt nettverksmisbruk. | Ikke skjul eller bygg inn kode som genererer mye trafikk eller mange nettverksforespørsler. |
| Sørg for at alle nettverksforespørsler fra appen din er legitime og nødvendige for funksjonaliteten til appen. | Ikke ta med funksjonalitet som kan fjernaktiveres for å angripe eksterne systemer. |
Skadelige nedlastere
Google Play forbyr «skadelige nedlastere». Dette er apper som laster ned annen uønsket programvare for mobilenheter (MUwS). En app merkes som en skadelig nedlaster hvis den antas å være laget for å spre uønsket programvare for mobilenheter, eller hvis minst 5 % av nedlastingene av den er uønsket programvare for mobilenheter. Disse retningslinjene gjelder ikke for kjente nettlesere eller apper for fildeling, så lenge de bare laster ned programvare med brukerens uttrykkelige samtykke og på brukerens initiativ. Du bør gjennomgå de fullstendige retningslinjene for å sikre at du overholder dem.
Kode som ikke er potensielt skadelig i seg selv, men som laster ned andre potensielt skadelige apper.
Kode kan være en skadelig nedlaster hvis
- det er grunn til å tro at den ble opprettet for å spre potensielt skadelige apper, og den har lastet ned slike apper eller inneholder kode som kan laste ned og installere apper
- minst 5 % av apper den laster ned, er potensielt skadelige apper, med en minimumsterskel på 500 observerte appnedlastinger (25 observerte nedlastinger av potensielt skadelige apper)
Kjente nettlesere og apper for fildeling regnes ikke som skadelige nedlastere så lenge
- de ikke laster ned apper uten brukerinteraksjon
- alle nedlastinger av potensielt skadelige apper er satt i gang av samtykkende brukere
Viktige vurderinger
| Gjør dette | Ikke gjør dette |
| Sørg for at appen ikke inneholder kode som sprer uønsket programvare for mobilenheter. | Ikke ta med kode i appen som sprer uønsket programvare for mobilenheter. |
| Overvåk nedlastinger for å holde deg godt under terskelen på 5 % for uønsket programvare for mobilenheter. | Ikke overskrid terskelen på 5 % for uønsket programvare for mobilenheter (25 tilfeller av uønsket programvare for mobilenheter per 500 nedlastinger). |
| Sørg for at alle appnedlastinger startes av samtykkende brukere, hvis formålet med appen din er å laste ned andre filer (for eksempel en nettleser eller fildeling). | Ikke inkluder funksjonalitet som driver appnedlastinger uten uttrykkelig brukerinteraksjon, hvis formålet med appen din er å laste ned andre filer (for eksempel en nettleser eller fildeling). |
Sikkerhetstrusler som ikke er for Android
Kode med sikkerhetstrusler som ikke er for Android.
Disse appene er ikke skadelige for Android-brukere eller -enheter, men de inneholder komponenter som potensielt er skadelige for andre plattformer.
Nettfisking
Du må fjerne all kode som driver med nettfisking ved å på villedende vis be om brukerens legitimasjon eller faktureringsinformasjon og sende den til en tredjepart. Du bør gjennomgå de fullstendige retningslinjene for å sikre at du overholder dem.
Kode som gir seg ut som å komme fra en pålitelig kilde, ber om brukeres autentiseringslegitimasjon eller faktureringsinformasjon, og sender disse dataene til en tredjepart. Denne kategorien omfatter også kode som avskjærer overføringen av brukerlegitimasjon mens overføringen finner sted.
Vanlige mål utsatt for nettfisking inkluderer banklegitimasjon, kredittkortnumre og kontolegitimasjon for sosiale nettverk og spill på nettet.
Viktige vurderinger
| Gjør dette | Ikke gjør dette |
| Bruk offisielle API-er og sikre metoder for å håndtere brukerlegitimasjon og betalingsopplysninger. | Ikke utgi deg for å være en pålitelig kilde for å lure brukere til å oppgi personlige eller økonomiske opplysninger. |
| Sørg for at alle brukerdata overføres på en sikker måte og ikke kan leses av tredjeparter. | Ikke fang opp eller samle inn brukerlegitimasjon eller sensitiv informasjon uten samtykke. |
| Vær åpen overfor brukerne om hvilke data du ber om, og hvorfor. | Ikke send sensitiv brukerinformasjon til tredjeparter uten å opplyse brukeren om det og innhente uttrykkelig samtykke. |
Misbruk av overordnede rettigheter
For å unngå brudd som følge av misbruk av overordnede rettigheter må ikke appen din inneholde kode som gir overordnede rettigheter eller ødelegger Android-sikkerhetssandkassen. Dette omfatter kode som stjeler påloggingsinformasjon fra andre apper, omgår Android-tillatelsesmodellen eller deaktiverer sentrale sikkerhetsfunksjoner. Appen din må også respektere brukerens kontroll over enheten sin. Du bør gjennomgå de fullstendige retningslinjene for å sikre at du overholder dem.
Kode som utsetter systemets integritet for sikkerhetsbrudd ved å bryte ned apptestmiljøet, oppnå overordnede rettigheter eller endre eller slå av tilgang til viktige sikkerhetsrelaterte funksjoner.
Eksempler på dette kan være
- apper som ikke overholder Android-tillatelsesmodellen, eller som stjeler legitimasjon (for eksempel OAuth-tokener) fra andre apper
- apper som misbruker funksjoner for å hindre at de avinstalleres eller stoppes
- apper som slår av SELinux
Apper med overordnede rettigheter som gir enheter rottilgang uten tillatelse fra brukerne, klassifiseres som apper for rottilgang.
Viktige vurderinger
| Gjør dette | Ikke gjør dette |
| Utvikle kode som respekterer Android-tillatelsesmodellen. | Ikke lag apper som setter systemet i fare ved å ødelegge appsandkassen. |
| Design appen din slik at den fungerer med standard brukerrettigheter. | Ikke skriv kode som hindrer brukeren fra å avinstallere appen. |
Løsepengevirus
Løsepengevirus er skadelig programvare som tar brukeres enheter eller data som gissel og krever betaling eller en handling for å gi dem tilbake til brukeren. Du må ikke låse brukere ute, kryptere data eller forhindre avinstallering. Disse retningslinjene beskytter brukere mot utpressing. Du bør gjennomgå de fullstendige retningslinjene for å sikre at du overholder dem.
Kode som tar delvis eller fullstendig kontroll over enheter eller data på en enhet, og som krever at brukeren betaler eller utfører en handling for å få tilbake kontrollen.
Enkelte løsepengevirus krypterer data på enheten og krever betaling for å dekryptere dataene og/eller bruker funksjoner tilknyttet enhetsadministratoren, slik at viruset ikke kan fjernes av vanlige brukere. Eksempler på dette kan være
- utestenging av brukere på enhetene deres og krav om penger for å gi kontrollen tilbake til brukerne
- kryptering av enhetsdata og krav om betaling, tilsynelatende for å dekryptere dataene
- bruk av funksjoner tilknyttet administrering av enhetsinnstillinger, der brukerne ikke kan fjerne viruset selv
Kode som distribueres med enheter med hovedformål om subsidiert administrering av enheter, kan utelates fra løsepengevirus-kategorien, gitt at de overholder kravene for sikker låsing og administrering samt kravene for tilstrekkelig informasjon og brukersamtykke
Viktige vurderinger
| Gjør dette | Ikke gjør dette |
| Sørg for at appens kode er fri for skadelig funksjonalitet for løsepengevirus. | Ikke krypter brukerdata eller lås brukerne ute fra enhetene sine. |
| Innhent uttrykkelig samtykke fra brukeren for alle funksjoner for enhetsadministrasjon. | Ikke bruk funksjoner for enhetsadministrasjon til å blokkere avinstallering. |
| Gi brukerne en tydelig og enkel måte å fjerne appen din på. | Ikke krev betaling eller handling for å gjenopprette kontrollen over enheten. |
Rottilgang
Google Play tillater ikke-skadelig rottilgang, men forbyr skadelig kode for rottilgang. Du må informere brukerne på forhånd om rottilgang og sørge for at appen din ikke utfører andre skadelige handlinger. Målet er å sikre at brukerne samtykker til denne omfattende endringen på enheten, og at de ikke blir utsatt for mer skadelig atferd. Du bør gjennomgå de fullstendige retningslinjene for å sikre at du overholder dem.
Kode som gir enheten rottilgang.
Det er forskjell på ikke-skadelig og skadelig kode for rottilgang. Eksempel: Med ikke-skadelige apper for rottilgang får brukere beskjed på forhånd om at de gir enheten rottilgang, og at de ikke utfører andre potensielt skadelige handlinger som gjelder for andre kategorier med potensielt skadelige apper.
Med skadelige apper for rottilgang får ikke brukerne beskjed om de gir enheten rottilgang, eller brukerne blir informert om rottilgangen på forhånd samtidig som det utføres andre handlinger som gjelder for andre kategorier med potensielt skadelige apper.
Viktige vurderinger
| Gjør dette | Ikke gjør dette |
| Informer brukerne på forhånd om at appen din får rottilgang til enheten. | Ikke få rottilgang til enheten uten å informere brukeren. |
| Innhent uttrykkelig samtykke fra brukeren før du får rottilgang til enheten. | Ikke utfør andre skadelige handlinger i en app med rottilgang. |
| Bekreft at appens kode er fri for annen skadelig atferd. | Ikke bruk kode for rottilgang til å skjule annen skadelig funksjonalitet. |
Søppelpost
Spionprogrammer
Google Play forbyr skadelig innsamling eller deling av bruker- eller enhetsdata. Uavhengig av brukersamtykke og bekjentgjørelser må datainnsamling og -deling være relatert til funksjonalitet som overholder retningslinjene. Du bør gjennomgå de fullstendige retningslinjene for å sikre at du overholder dem.
Spionprogrammer er skadelige apper, skadelig kode eller skadelig atferd som samler inn, henter ut eller deler bruker- eller enhetsdata som ikke er relatert til funksjonalitet som er i tråd med retningslinjene.
Skadelig kode eller atferd som kan anses som spionasje mot brukeren, eller som henter ut data uten tilstrekkelig varsel eller samtykke, anses også som spionprogrammer.
Brudd på retningslinjene om spionprogrammer inkluderer, men er ikke begrenset til,
- opptak av lyd eller samtaler på telefonen
- tyveri av appdata
- apper med skadelig tredjepartskode (for eksempel en SDK) som overfører data bort fra enheten på en måte som er uventet for brukeren, og/eller uten tilstrekkelig brukervarsel eller -samtykke
Alle apper må også overholde alle programretningslinjer for Google Play-utviklere, inkludert retningslinjer for bruker- og enhetsdata, for eksempel Uønsket programvare for mobilenheter, Brukerdata, Tillatelser og API-er som bruker sensitiv informasjon og SDK-krav.
Viktige vurderinger
| Gjør dette | Ikke gjør dette |
| Gi tydelig varsel og innhent uttrykkelig samtykke fra brukeren før data samles inn eller overføres. | Tillat at SDK-er fra tredjeparter i appen din tar opp lyd, samtaler eller innhenter appdata uten uttrykkelig samtykke fra brukeren og funksjonalitet som er i samsvar med retningslinjene. |
| Implementer robust logging og revisjon for all datatilgang og -overføring fra SDK-er fra tredjeparter for å oppdage og håndtere uautorisert uttrekking av data. | Driv med skjult datainnsamling eller samle inn mer data enn appen trenger for sin erklærte funksjon. |
| Sørg for at SDK-er som er integrert i appen din, bare samler inn de dataene de faktisk trenger, og at formålet eller atferden ikke fører til at appen din bryter retningslinjene for Google Play. | Inkluder SDK-er fra tredjeparter i appen din som overfører data på uventede måter eller uten riktig samtykke. |
| Anta at SDK-er fra tredjeparter i praksisene for innsamling av appdata er kompatible, uten å ha gått grundig gjennom dem. |
Trojanske hester
En trojansk hest er kode som inneholder en skjult, skadelig komponent. Disse retningslinjene forbyr apper som utfører uønskede handlinger mot brukeren uten at brukeren vet om det. Som utvikler må du sørge for at appkoden er åpen og fri for skjult, skadelig funksjonalitet. Du bør gjennomgå de fullstendige retningslinjene for å sikre at du overholder dem.
Kode som utgir seg for å være godartet, for eksempel et spill som bare utgir seg for å være et spill, men som utfører uønskede handlinger rettet mot brukeren.
Denne klassifiseringen brukes vanligvis sammen med andre kategorier med potensielt skadelige apper. Trojanske hester har en ufarlig komponent og en skjult, skadelig komponent. For eksempel et spill som i bakgrunnen sender SMS-er med tilleggskostnader fra brukerens enhet uten at vedkommende er klar over det.
Viktige vurderinger
| Gjør dette | Ikke gjør dette |
| Sørg for at appkoden er åpen og tjener det oppgitte formålet. | Ikke skjul skadelig funksjonalitet i en tilsynelatende harmløs app. |
| Bekreft at all appfunksjonalitet opplyses til brukeren. | Ikke utfør bakgrunnshandlinger uten at brukeren vet om det og har samtykket. |
| Forsikre deg om at eventuelle SDK-er fra tredjeparter som er inkludert, er trygge og ikke inneholder skjult atferd. | Ikke gi en feilaktig fremstilling av appens formål for å lure brukere. |
En kommentar om uvanlige apper
Hvis Google Play Protect ikke har nok informasjon til å bekrefte sikkerheten til den nye appen din, kan den bli klassifisert som «uvanlig». Denne statusen betyr ikke at appen din er skadelig, men at den må gjennomgås nærmere. Du bør gjennomgå de fullstendige retningslinjene for å sikre at du overholder dem.
Viktige vurderinger
| Gjør dette | Ikke gjør dette |
| Oppgi fullstendig og nøyaktig informasjon i appoppføringen. | Ikke skjul funksjonalitet eller bruk obfuskert kode. |
| Sørg for at appkoden er ren og godt dokumentert for gjennomgang. | Ikke bruk ubekreftede tredjepartsbiblioteker. |
En kommentar om bakdørkategorien
En bakdør er kode som muliggjør skadelig atferd. Hvis appen bruker dynamisk innlasting av kode til å utføre skadelige handlinger, bryter den retningslinjene. Du må sørge for at appkoden ikke aktiverer skjult, skadelig funksjonalitet. Hvis det oppdages et sikkerhetshull uten ondsinnet hensikt, blir du bedt om å rette det. Du bør gjennomgå de fullstendige retningslinjene for å sikre at du overholder dem.
Bakdørkategorien av skadelig programvare avhenger av kodeatferden. For at kode skal klassifiseres som programvare som åpner bakdører, må den tilrettelegge for atferd som plasserer koden i en av de andre kategoriene med skadelig programvare, hvis koden kjøres automatisk. Hvis en app for eksempel tillater dynamisk innlasting av kode, og hvis den dynamisk innlastede koden henter ut SMS-er, blir appen klassifisert som skadelig programvare som åpner bakdører.
Men hvis en app tillater kjøring av vilkårlig kode og vi ikke har grunn til å tro at kjøringen av koden ble lagt til for å utføre skadelig atferd, blir appen behandlet som en app med et sikkerhetsproblem, i stedet for programvare som åpner bakdører, og utvikleren blir bedt om å løse problemet.
Viktige vurderinger
| Gjør dette | Ikke gjør dette |
| Test grundig all kode som muliggjør dynamisk kjøring. | Ikke bruk dynamisk kodeinnlasting til å utføre skjulte, skadelige handlinger. |
| Sørg for at appens kode er fri for sårbarheter som kan utnyttes. | Ikke tillat vilkårlig kjøring av kode uten grundige sikkerhetskontroller. |
| Oppdater eventuelle sikkerhetsproblemer appen din har, umiddelbart. | Ikke bruk ubekreftede tredjepartsbiblioteker som kan åpne for bakdører. |
Risikabel programvare
Risikabel programvare er apper som bruker unnvikelsesteknikker til å skjule skadelig funksjonalitet. Den maskerer seg som en legitim app, og bruker metoder som obfuskering eller dynamisk kodelasting til å vise skadelig innhold senere. Du må sørge for at appen din er gjennomsiktig og ikke bruker slike teknikker til å lure anmeldere eller brukere. Du bør gjennomgå de fullstendige retningslinjene for å sikre at du overholder dem.
En app som bruker ulike teknikker for å unngå sikkerhetstiltakene for å gi brukeren annen – eller falsk – appfunksjonalitet. Slike apper gir seg ut for å være legitime apper eller spill som ser uskyldige ut for appbutikker og brukere, og de bruker teknikker som obfuskering, dynamisk innlasting av kode eller maskering (cloaking) for å vise potensielt skadelig innhold.
Risikabel programvare minner om andre kategorier med potensielt skadelige apper, mer konkret trojanske hester, og hovedforskjellen er teknikkene som brukes for å obfuskere den skadelige aktiviteten.
Viktige vurderinger
| Gjør dette | Ikke gjør dette |
| Sørg for at appens kode er tydelig og enkel å gjennomgå. | Ikke bruk obfuskering eller maskering til å skjule funksjonalitet. |
| Vær åpen om alle funksjonene i appen. | Ikke bruk dynamisk kodeinnlasting til å vise skadelig innhold. |
| Opplys om all funksjonalitet i appbeskrivelsen. | Ikke få appen til å oppføre seg annerledes for anmeldere enn for vanlige brukere. |
Help us improve this policy article by taking a 2-minute survey.