Отказ от обязательств. Краткие описания правил и раздел "На что обратить внимание" содержат только обзорную информацию. Чтобы обеспечивать соблюдение правил, всегда читайте их полный текст. В случае противоречий приоритет имеет полный текст правил.
Чтобы экосистема Android оставалась безопасной, мы запрещаем распространять в Google Play вредоносный код, в том числе встраивать в приложения сторонние SDK, которые могут подвергнуть риску пользователей, их данные и устройства. Просим вас прочитать правила и соблюдать их.
Вредоносным ПО считается любой код, который может представлять угрозу для пользователя, а также его данных или устройств. Например, к вредоносному ПО относятся потенциально опасные приложения (ПОП), а также исполняемые файлы и модификации фреймворков, относящиеся к таким категориям, как троянские программы, фишинговое и шпионское ПО. Мы постоянно обновляем этот список и добавляем новые категории.
Вредоносные программы могут различаться по типу и принципу действия, но, как правило, преследуют какие-либо из следующих целей:
- вмешательство в работу устройства пользователя;
- получение контроля над устройством пользователя;
- выполнение удаленных операций, позволяющих получать доступ к зараженному устройству или каким-либо образом использовать его;
- передача персональных или учетных данных с устройства без ведома и согласия пользователя;
- рассылка с зараженного устройства спама или команд, которые затрагивают другие устройства или сети;
- мошеннические действия по отношению к пользователю.
Приложения, исполняемые файлы и модификации фреймворков, даже если они изначально не были созданы с вредоносными целями, могут считаться потенциально опасными и представлять угрозу для пользователя. Дело в том, что они могут действовать по-разному в зависимости от целого ряда факторов. Компоненты, которые могут представлять риск для одних устройств Android, совершенно безвредны для других. Например, вредоносные программы, использующие устаревшие API, не станут угрозой для устройств, на которых установлена последняя версия ОС Android, в отличие от устройств с более ранними версиями. Приложения, исполняемые файлы и модификации фреймворков помечаются как вредоносные или потенциально опасные, если они представляют явную угрозу для некоторых или всех пользователей и устройств Android.
Мы хотим, чтобы наша экосистема была безопасной, построенной на инновациях и доверии, а также чтобы пользователи понимали, как именно злоумышленники могут эксплуатировать их устройства. Именно поэтому мы подготовили описание категорий вредоносного ПО.
Подробную информацию можно найти на сайте Google Play Защиты.
На что обратить внимание
| Что следует делать | Чего делать нельзя |
| Тщательно проверять весь код в приложении, в том числе сторонние SDK. Код не должен демонстрировать поведение, характерное для вредоносного ПО (шпионских программ, троянов или фишинга), даже непреднамеренно. | Встраивать код, который использует повышенные привилегии, чтобы нарушать целостность системы, настраивает root-доступ без явного согласия и ведома пользователя или применяет методы маскировки ПО, чтобы избежать обнаружения вредоносной активности. |
| Использовать инструменты для проверки на наличие уязвимостей или бэкдоров, позволяющих удаленно выполнять нежелательные операции. | Использовать сторонние SDK, которые собирают и передают персональные данные в целях наблюдения, не уведомляя пользователя и не получая его согласие надлежащим образом (ПО для преследования). Включать в приложение код, который способствует мошенничеству с платежами, в том числе с использованием SMS, звонков и оформлением подписки или оплатой контента. |
| Следить за тем, чтобы сторонние SDK собирали и/или передавали пользовательские данные только при условии, что реализуют соответствующие правилам функции и/или уведомляют пользователя и получают его согласие надлежащим образом (в противном случае ПО считается шпионским). | Использовать сторонние SDK, которые осуществляют DoS-атаки или действуют в качестве загрузчика вредоносного ПО. |
| Следить за тем, чтобы в вашем приложении не было сторонних SDK, которые нарушают модель разрешений Android, используя доступ к данным устройства для получения повышенных привилегий с незаявленной целью. |
Бэкдоры
Чтобы защитить пользователей, удалите любой код, который действует как бэкдор, то есть позволяет удаленно выполнять нежелательные или вредоносные операции. Чтобы обеспечить соблюдение правил, прочитайте их полный текст.
Код, который позволяет удаленно выполнять на устройстве нежелательные, потенциально опасные операции.
Такие операции могут включать процессы, из-за автоматического выполнения которых приложение, исполняемый файл или модификация фреймворка попадет в другие категории вредоносного ПО. В целом бэкдор – это способ, с помощью которого потенциально опасные операции могут быть выполнены на устройстве. Поэтому бэкдор сложно поставить в один ряд с такими категориями, как мошенническое списание средств или коммерческое шпионское ПО. В результате Google Play Защита при определенных обстоятельствах может посчитать набор бэкдоров уязвимостью.
На что обратить внимание
| Что следует делать | Чего делать нельзя |
| Тщательно проверяйте код приложения и все сторонние библиотеки на скрытые возможности удаленного управления. | Не добавляйте скрытые функции или возможности, которые могут использоваться для причинения вреда пользователям. |
| Обеспечьте защиту всех конечных точек удаленного выполнения от несанкционированного доступа. | Не обфусцируйте код с целью скрыть функции удаленного доступа. |
| Устраняйте уязвимости в приложении сразу же, как о них узнаете. | Не игнорируйте предупреждения о потенциальных уязвимостях зависимостей. |
Мошенническое списание средств
Чтобы избежать мошеннических списаний средств, удалите любой код, который обманным путем взимает с пользователей оплату без их явного согласия. Примеры: SMS- и телефонное мошенничество, а также обманные действия, заставляющие пользователей совершить нежелательные платежи или оформить подписку. Чтобы обеспечить соблюдение правил, прочитайте их полный текст.
Код, который приводит к автоматическому списанию средств пользователя обманным способом.
Существует три категории мошеннических списаний средств через операторов мобильной связи: SMS- и телефонное мошенничество, а также мошенничество с оформлением подписки или оплатой контента.
SMS-мошенничество
В этом случае код приводит к отправке платных SMS без согласия пользователя или скрывает соглашения, содержащие информацию о передаче SMS, или сообщения, в которых оператор связи уведомляет о списании средств или подтверждает оформление подписки.
Бывает, что код не скрывает от пользователя отправку сообщений, но способствует SMS-мошенничеству другими путями. Примеры: сокрытие определенных разделов соглашения с информацией о передаче SMS или представление этих разделов в нечитаемом виде, блокировка сообщений, в которых оператор связи уведомляет пользователя о списании средств или подтверждает подписку.
Мошенничество со звонками
В этом случае код приводит к звонкам на платные номера без согласия пользователя.
Мошенничество с оформлением подписки или оплатой контента
В этом случае код используется для того, чтобы обманным путем заставить человека приобрести подписку или оплатить контент через оператора мобильной связи.
К этой категории относятся все списания средств, кроме тех, которые вызваны платными SMS и звонками. Примеры: оплата через оператора или по протоколу WAP и передача минут мобильной связи. Мошенничество с WAP особенно распространено. Оно может использоваться для того, чтобы обманом заставить человека нажать кнопку в незаметно загружающемся прозрачном компоненте WebView. В результате подписка оформляется, а SMS или письмо с подтверждением транзакции перехватывается, чтобы пользователь не узнал о списании средств.
На что обратить внимание
| Что следует делать | Чего делать нельзя |
| Перед проведением любых финансовых транзакций получайте согласие пользователя в явно выраженной форме. | Не скрывайте информацию о платежах и подписках. |
| Убедитесь, что вся информация об оплате понятна, прозрачна и хорошо заметна пользователю. | Не используйте скрытые элементы, не отправляйте платные SMS-сообщения автоматически и не совершайте звонки без согласия пользователя. |
| Отправляйте пользователю все уведомления об оплате через оператора связи. | Не используйте такие методы, как оплата через оператора связи, чтобы обманным путем заставить пользователей оформить подписку. |
ПО для преследования
В Google Play запрещены приложения, которые отслеживают действия других пользователей, собирая и передавая личные и конфиденциальные данные. Исключение – приложения, предназначенные для родительского или корпоративного контроля, при условии полного соблюдения строгих требований. Чтобы обеспечить соблюдение правил, прочитайте их полный текст.
Программный код, который в целях мониторинга собирает персональные или конфиденциальные пользовательские данные с устройства и передает их третьим лицам (компаниям или физическим лицам).
Приложения должны раскрывать информацию и получать согласие в соответствии с правилами в отношении пользовательских данных.
Рекомендации в отношении приложений для мониторинга
Единственными приемлемыми приложениями для мониторинга являются приложения, предназначенные для родительского или корпоративного контроля. При этом должны полностью соблюдаться приведенные ниже требования. С помощью этих приложений запрещается следить за другими лицами (например, за супругом или супругой) даже с ведома и согласия таких лиц и при условии показа уведомления о передаче информации. Чтобы объявить, что приложение используется для мониторинга, в файле манифеста необходимо указать параметр IsMonitoringTool.
Приложения для мониторинга должны соответствовать перечисленным ниже требованиям.
- В описании приложения не должно говориться, что это шпионское ПО или инструмент для секретной слежки.
- Приложения не должны скрывать свои функции отслеживания или вводить пользователя в заблуждение по этому поводу.
- Во время работы таких приложений должны постоянно отображаться уведомление о том, что приложение запущено, и уникальный значок, позволяющий однозначно идентифицировать приложение.
- В описании приложения в Google Play должны упоминаться его функции мониторинга или отслеживания.
- В приложениях и на их страницах в Google Play не должно быть способов активировать функции, нарушающие эти правила, или получить доступ к таким функциям. Например, запрещены ссылки на не соответствующие требованиям APK-файлы, размещенные не в Google Play.
- Приложения должны соответствовать действующему законодательству. Вы несете полную ответственность за соблюдение законов страны, где ваше приложение будет распространяться.
На что обратить внимание
| Что следует делать | Чего делать нельзя |
| Продвигать приложение исключительно как инструмент для родительского или корпоративного контроля. | Продвигать приложение как шпионское ПО или инструмент для слежки. |
Включать в манифест флаг IsMonitoringTool. |
Отслеживать других взрослых, в том числе супругов, даже с их разрешения. |
| Показывать постоянное уведомление с уникальным значком во время работы приложения. | Скрывать или маскировать функции отслеживания или вводить пользователей в заблуждение по этому поводу. |
| Указывать в описании приложения все функции мониторинга. | Включать ссылки на не соответствующие требованиям APK-файлы, размещенные за пределами Google Play. |
| Раскрывать информацию и запрашивать согласие. | Предоставлять средства для активации функций, нарушающих эти правила. |
Атака типа "отказ в обслуживании" (DoS)
Чтобы защитить свое приложение и другие системы, удалите любой код, который без ведома пользователя атакует такие системы или перегружает сеть. Чтобы обеспечить соблюдение правил, прочитайте их полный текст.
Код, который незаметно для пользователя запускает атаку типа "отказ в обслуживании" (DoS) или принимает участие в распределенной атаке такого типа, направленной на другие системы и ресурсы.
Пример: отправка большого количества HTTP-запросов для создания чрезмерной нагрузки на удаленные серверы.
На что обратить внимание
| Что следует делать | Чего делать нельзя |
| Тщательно проверяйте код и сторонние SDK на злоупотребление ресурсами сети. | Не скрывайте и не встраивайте код, который создает большой объем трафика или сетевых запросов. |
| Убедитесь, что все сетевые запросы из вашего приложения отправляются на законных основаниях и необходимы для его работы. | Не добавляйте функции, которые можно активировать удаленно для атаки на внешние системы. |
Загрузчики вредоносного ПО
В Google Play запрещено публиковать загрузчики вредоносного ПО, то есть приложения, которые скачивают нежелательное ПО для мобильных устройств. Приложение помечается как загрузчик вредоносного ПО, если есть основания полагать, что оно предназначено для распространения нежелательного ПО, или если хотя бы 5 % скачанного им контента представляет собой нежелательное ПО. Это правило не применяется к основным браузерам и приложениям для обмена файлами, если они скачивают ПО только с явного согласия пользователя и по его инициативе. Чтобы обеспечить соблюдение правил, прочитайте их полный текст.
Код, который сам по себе безвреден, но скачивает другие потенциально опасные приложения.
Код может быть загрузчиком вредоносного ПО, если выполняется хотя бы одно из условий:
- есть основания считать, что он создан для распространения потенциально опасных приложений, скачивает такие приложения или содержит код, который может скачивать и устанавливать приложения;
- как минимум 5 % приложений, скачанных этим кодом, являются потенциально опасными (то есть при минимальном пороге в 500 скачанных приложений должно быть обнаружено хотя бы 25 потенциально опасных).
Ведущие браузеры и приложения для обмена файлами не считаются загрузчиками вредоносного ПО, если:
- скачивание в них не запускается без участия пользователя;
- скачивание потенциально опасных приложений начинается только после того, как пользователь дает на это согласие.
На что обратить внимание
| Что следует делать | Чего делать нельзя |
| Убедитесь, что в приложении нет кода, который позволяет распространять нежелательное ПО для мобильных устройств. | Не добавляйте в приложение код, который позволяет распространять нежелательное ПО для мобильных устройств. |
| Следите за тем, чтобы количество скачиваний, которые привели к распространению или установке нежелательного ПО для мобильных устройств, не превышало пороговое значение в 5 %. | Не превышайте пороговое значение скачиваний, которые приводят к распространению или установке нежелательного ПО для мобильных устройств. Оно составляет 5 % (25 случаев на 500 скачиваний). |
| Если ваше приложение предназначено для скачивания других файлов (например, это браузер или сервис для обмена контентом), убедитесь, что все скачивания инициируются пользователем, который дал на это согласие. | Если ваше приложение предназначено для скачивания других файлов (например, это браузер или сервис для обмена контентом), не добавляйте в него функции, которые инициируют скачивание без явного участия пользователя. |
Угроза для устройств не на базе Android
Код, потенциально опасный для других платформ.
Приложения с таким кодом безопасны для устройств Android и их пользователей, но содержат компоненты, которые могут нанести вред другим платформам.
Фишинг
Удалите код, который используется для фишинга, то есть обманным путем запрашивает учетные или платежные данные пользователя и отправляет их третьим лицам. Чтобы обеспечить соблюдение правил, прочитайте их полный текст.
Код, полученный якобы из надежного источника, который запрашивает учетные или платежные данные пользователя, а затем передает их третьим лицам. К этой же категории относится код, который перехватывает учетные данные при их передаче.
Обычно фишингу подвергаются номера кредитных карт, а также учетные данные для аккаунтов в банковских системах, играх и социальных сетях.
На что обратить внимание
| Что следует делать | Чего делать нельзя |
| Используйте официальные API и безопасные методы для обработки учетных и платежных данных пользователей. | Не выдавайте себя за надежный источник, чтобы обманным путем получать от пользователей личные или финансовые сведения. |
| Убедитесь, что все пользовательские данные передаются безопасным образом и недоступны третьим лицам. | Не перехватывайте и не собирайте учетные данные или конфиденциальную информацию пользователей без согласия. |
| Сообщайте пользователям, какие данные вы запрашиваете и зачем. | Не отправляйте конфиденциальные пользовательские данные третьим лицам, не уведомив пользователей и не получив их явное согласие. |
Повышение привилегий
Чтобы избежать нарушений, связанных со злоупотреблением повышенными привилегиями, не включайте в приложение код, который дает такие привилегии или нарушает работу безопасной изолированной среды Android. Примеры: код, который крадет учетные данные из других приложений, обходит модель разрешений Android или отключает основные функции безопасности. Приложение также должно уважать право пользователя на управление устройством. Чтобы обеспечить соблюдение правил, прочитайте их полный текст.
Код, который нарушает целостность системы, проникая в тестовую среду, получая более высокий уровень привилегий или изменяя или отключая доступ к основным функциям, связанным с безопасностью.
Примеры:
- Приложения, которые нарушают модель разрешений Android или крадут учетные данные (такие как токены OAuth) из других приложений.
- Приложения, которые препятствуют удалению или остановке функций.
- Приложения, которые отключают модуль SELinux.
Приложения, которые без разрешения пользователя получают root-доступ через повышение привилегий, относятся к категории "Получение root-доступа".
На что обратить внимание
| Что следует делать | Чего делать нельзя |
| Разрабатывайте код с учетом модели разрешений Android. | Не создавайте приложения, которые выходят за пределы изолированной среды и таким образом нарушают целостность системы. |
| Создавайте приложение так, чтобы оно работало с правами обычного пользователя. | Не пишите код, который запрещает пользователю удалять приложение. |
Программы-вымогатели
Программа-вымогатель – это вредоносное ПО, которое перехватывает контроль над устройством или удерживает данные пользователя, требуя заплатить выкуп или выполнить определенные действия для восстановления доступа. Нельзя шифровать данные, а также блокировать доступ к устройству или возможность удаления приложения. Эти правила защищают пользователей от вымогательства. Чтобы обеспечить соблюдение правил, прочитайте их полный текст.
Код, который получает полный или частичный контроль над устройством или данными на нем и требует, чтобы для восстановления доступа пользователь заплатил деньги или выполнил какое-либо действие.
Некоторые из таких программ шифруют данные на устройстве и требуют деньги за их расшифровку и/или получают полномочия администратора, что не позволяет пользователю удалить программу-вымогатель. Примеры:
- Программы, которые блокируют пользователю доступ к устройству и требуют деньги за его восстановление.
- Программы, которые шифруют данные и требуют плату якобы за их расшифровку.
- Программы, которые получают доступ к менеджеру правил устройства, из-за чего пользователь не может удалить эти программы.
Код, распространяемый вместе с устройством, предназначенный в первую очередь для привилегированного управления устройством, может быть исключен из категории программ-вымогателей, если он соответствует требованиям к безопасности блокировки и управления, а также к раскрытию информации и получению согласия пользователей.
На что обратить внимание
| Что следует делать | Чего делать нельзя |
| Убедитесь, что в коде приложения нет вредоносных функций, связанных с программами-вымогателями. | Не шифруйте данные пользователей и не блокируйте доступ к устройству. |
| Получайте явное согласие пользователя перед тем, как запускать любые функции управления устройством. | Не используйте функции администратора устройства, чтобы заблокировать возможность удаления. |
| Предоставьте пользователям возможность легко удалить приложение. | Не требуйте оплаты или выполнения действий для восстановления контроля над устройством. |
Получение root-доступа
В Google Play разрешены приложения, получающие root-доступ к устройству, если они не содержат вредоносный код. Вы обязаны заранее предупреждать пользователей о получении root-доступа и следить за тем, чтобы приложение не выполняло других опасных действий. Цель – убедиться, что пользователи согласны на такое серьезное изменение в устройстве и не подвергаются дополнительным рискам. Чтобы обеспечить соблюдение правил, прочитайте их полный текст.
Код, который получает root-доступ к устройству.
Такой код не всегда является вредоносным. К примеру, некоторые приложения заранее предупреждают пользователя о том, что получат root-доступ к устройству, и не выполняют других опасных действий, характерных для потенциально опасных приложений.
Вредоносные приложения не уведомляют пользователя о том, что они получат root-доступ к устройству, или уведомляют, но также выполняют другие действия, характерные для потенциально опасных приложений.
На что обратить внимание
| Что следует делать | Чего делать нельзя |
| Заранее сообщайте пользователям, что ваше приложение собирается получить root-доступ. | Не получайте root-доступ без ведома пользователя. |
| Перед настройкой root-доступа получайте явное согласие пользователя. | Не выполняйте другие опасные действия в приложении, нацеленном на получение root-доступа. |
| Убедитесь, что в коде приложения нет других вредоносных элементов. | Не скрывайте другие вредоносные функции в коде, который используется для получения root-доступа. |
Спам
Шпионское ПО
В Google Play запрещено злонамеренно собирать данные пользователей и устройств, а также предоставлять доступ к этой информации. Данные должны собираться и передаваться только в рамках работы функций, соответствующих правилам, независимо от таких процессов, как раскрытие информации и получение согласия пользователей. Чтобы обеспечить соблюдение правил, прочитайте их полный текст.
Шпионским ПО называют вредоносное приложение, код или действия, которые позволяют собирать, раскрывать или передавать третьим лицам данные пользователя или устройства, не связанные с функциями, соответствующими правилам.
К шпионскому ПО также относится вредоносный код или поведение, которые могут считаться способами слежки за пользователем или приводят к раскрытию данных без его согласия или уведомления.
Шпионские действия включают, помимо прочего:
- запись аудио или вызовов на телефоне;
- кражу данных приложений;
- передачу данных с устройства, которая совершается неожиданным для пользователя способом, без его согласия или уведомления и выполняется вредоносным сторонним кодом (например, SDK) в составе приложения.
Приложения также должны соответствовать всем Правилам программы для разработчиков приложений в Google Play, в том числе связанным с данными пользователей и устройств, таким как правила в отношении нежелательного ПО для мобильных устройств, пользовательских данных и разрешений и API с доступом к конфиденциальной информации, а также требованиям к SDK.
На что обратить внимание
| Что следует делать | Чего делать нельзя |
| Уведомлять пользователей в явной форме и получать их согласие, прежде чем собирать или передавать данные. | Разрешать сторонним SDK в приложении записывать аудио и звонки или получать данные приложений без явного согласия пользователя и в отсутствие функций, соответствующих правилам. |
| Использовать надежные механизмы ведения журналов и аудита для всех сторонних SDK, чтобы отслеживать и предотвращать несанкционированный доступ к данным и их передачу. | Собирать данные скрыто или собирать больше данных, чем необходимо для выполнения заявленных функций приложения. |
| Убедиться, что интегрированные SDK собирают только те данные, которые необходимы для работы приложения, и что назначение или поведение этих SDK не нарушает правила Google Play. | Включать в приложение сторонние SDK, которые передают данные неожиданным образом или без надлежащего согласия. |
| Предполагать без проведения тщательной проверки, что сторонние SDK в приложении соответствуют правилам сбора данных. |
Троянские приложения
Троян – это код со скрытым вредоносным компонентом. Наши правила запрещают публиковать приложения, которые выполняют нежелательные действия без ведома пользователя. Разработчики обязаны следить за тем, чтобы код их приложений был прозрачным и не содержал скрытых вредоносных функций. Чтобы обеспечить соблюдение правил, прочитайте их полный текст.
Код, который кажется безвредным (например, обычной игрой), но выполняет нежелательные действия по отношению к пользователю.
Эта классификация обычно используется в сочетании с другими категориями потенциально опасных приложений. Троянское приложение выглядит безвредно, но содержит скрытый вредоносный компонент. Например, игра, которая в фоновом режиме отправляет платные SMS с устройства без ведома пользователя.
На что обратить внимание
| Что следует делать | Чего делать нельзя |
| Убедитесь, что код приложения прозрачен и соответствует заявленному назначению. | Не скрывайте вредоносные функции в безобидном на первый взгляд приложении. |
| Убедитесь, что сообщаете пользователям обо всех функциях приложения. | Не выполняйте фоновые действия без явного согласия пользователя. |
| Убедитесь, что сторонние SDK безопасны и не содержат скрытых функций. | Не искажайте информацию о назначении приложения, чтобы обмануть пользователей. |
Примечание о необычных приложениях
Если Google Play Защите не хватает информации для проверки безопасности нового приложения, оно может быть помечено как "необычное". Этот статус не означает, что приложение является вредоносным. Однако безопасным оно будет считаться только после дополнительной проверки. Чтобы обеспечить соблюдение правил, прочитайте их полный текст.
На что обратить внимание
| Что следует делать | Чего делать нельзя |
| Указывайте на странице приложения полную и точную информацию. | Не скрывайте функции и не обфусцируйте код. |
| Убедитесь, что код приложения понятен и хорошо задокументирован. | Не используйте непроверенные сторонние библиотеки. |
Примечание к категории "Бэкдоры"
Бэкдор – это код, который позволяет выполнять вредоносные действия. Приложение нарушает правила, если в нем используется динамическая подгрузка кода для выполнения таких действий. Код приложения не должен реализовывать скрытые вредоносные функции. При обнаружении уязвимости, которая оказалась в приложении без злого умысла, вам будет предложено устранить ее. Чтобы обеспечить соблюдение правил, прочитайте их полный текст.
Включение кода в категорию бэкдоров зависит от того, что именно он делает. Чтобы код считался бэкдором, он должен позволять запускать процессы, из-за автоматического выполнения которых код попадет в другую категорию вредоносного ПО. Например, если в приложении разрешена динамическая загрузка кода и динамически загружаемый код извлекает SMS, такое приложение будет считаться бэкдором.
Но если в приложении разрешено выполнение произвольного кода и у нас нет оснований считать, что этот код добавлен для выполнения вредоносных процессов, такое приложение не будет отнесено к бэкдорам. Вместо этого мы отметим, что оно имеет уязвимость, и попросим разработчика устранить ее.
На что обратить внимание
| Что следует делать | Чего делать нельзя |
| Тщательно тестируйте любые части приложения, которые позволяют динамически выполнять код. | Не используйте динамическую подгрузку кода для выполнения скрытых вредоносных действий. |
| Убедитесь, что в коде приложения нет уязвимостей. | Не разрешайте выполнять произвольный код без тщательной проверки безопасности. |
| Своевременно устраняйте уязвимости в приложении. | Не используйте непроверенные сторонние библиотеки, которые могут позволить создавать бэкдоры. |
Потенциально опасное ПО
Потенциально опасное ПО – это приложение, которое различными способами скрывает вредоносные функции. Оно маскируется под обычное приложение, скрывая опасный контент с помощью обфускации или динамической подгрузки кода. Приложение должно быть прозрачным и не обманывать обычных пользователей или проверяющих специалистов таким образом. Чтобы обеспечить соблюдение правил, прочитайте их полный текст.
Приложения и игры, в которых функции отличаются от заявленных и скрываются различными способами. Подобные продукты кажутся безопасными пользователям и магазинам приложений, поскольку разработчики скрывают потенциально опасный контент, маскируя его, используя обфускацию и подгружая код динамически.
Потенциально опасное ПО похоже на другие программы из той же категории, в особенности на трояны. Однако оно скрывает вредоносное содержимое иными способами.
На что обратить внимание
| Что следует делать | Чего делать нельзя |
| Убедитесь, что код приложения понятен и при его проверке не возникнет трудностей. | Не используйте обфускацию или маскировку, чтобы скрыть какие-либо функции. |
| Честно рассказывайте обо всех функциях приложения. | Не используйте динамическую подгрузку кода для показа вредоносного контента. |
| Указывайте в описании приложения все его функции. | Не изменяйте поведение приложения в зависимости от того, кто им пользуется: обычный человек или проверяющий специалист. |
Help us improve this policy article by taking a 2-minute survey.