Застереження. Розділи "Підсумок правил" і "На що звернути увагу" наводяться лише для ознайомлення. Щоб повністю зрозуміти правила й дотримуватися їх, завжди читайте правила повністю. У разі розбіжностей перевага надається повному тексту правил.
Щоб екосистема Android була завжди безпечна, Google Play забороняє будь-який шкідливий код, зокрема сторонні пакети SDK, інтегровані в додатки, які можуть становити загрозу для користувачів, їхніх даних чи пристроїв. Ознайомтеся з повним текстом правил, щоб забезпечити відповідність вимогам.
Зловмисне програмне забезпечення – це будь-який код, що може поставити під загрозу користувача, його дані чи пристрій. До зловмисного програмного забезпечення належать, зокрема, потенційно шкідливі додатки, двійкові коди й модифікації фреймворків, серед яких можна виокремити категорії троянських, фішингових і шпигунських програм. Ми постійно оновлюємо категорії і додаємо нові.
Хоча типи й функції зловмисних програм значно відрізняються, усі вони мають на меті щось із переліченого нижче.
- Порушити захист пристрою користувача.
- Отримати контроль над пристроєм користувача.
- Допомогти зловмисникам віддалено отримати доступ до інфікованого пристрою, користуватися ним чи застосовувати з іншою метою.
- Передавати персональні чи облікові дані з пристрою, не повідомивши про це користувача й не отримавши його згоди.
- Надсилати з інфікованого пристрою спам або певні команди, щоб учиняти шкідливий вплив на інші пристрої та мережі.
- Заволодіти коштами користувача.
Додаток, двійковий код чи модифікація фреймворку можуть бути потенційно шкідливі, навіть якщо їх не розроблено як зловмисні програми. Причина полягає в тому, що функції додатків, двійкових кодів і модифікацій фреймворків відрізняються залежно від багатьох змінних параметрів. Тому поведінка, шкідлива для одного пристрою Android, може не становити загрози для іншого. Наприклад, пристрої з останньою версією Android не зазнають впливу шкідливих програм, у яких зловмисну поведінку реалізовано через непідтримувані API, однак пристрої з ранішою версією Android перебувають під загрозою. Додатки, двійкові коди та модифікації фреймворків позначаються як зловмисне програмне забезпечення чи потенційно шкідливі додатки, якщо очевидно, що вони становлять загрозу для всіх чи деяких пристроїв Android і їх користувачів.
Ми переконані, що користувачі мають розуміти, як здійснюється керування пристроєм, і докладаємо всіх зусиль, щоб підтримувати безпечну інноваційну екосистему, якій користувачі можуть довіряти. Ґрунтуючись на цих фундаментальних принципах, ми розробили класифікацію зловмисного програмного забезпечення за наведеними нижче категоріями.
Щоб дізнатися більше, відвідайте веб-сайт Google Play Захисту.
На що слід звернути увагу
| Потрібно | Заборонено |
| Ретельно перевіряйте весь код у додатку, зокрема сторонні пакети SDK, щоб переконатися, що він не має ознак, притаманних зловмисному ПЗ, такому як шпигунські, троянські або фішингові програми. | Не інтегруйте в додаток код, який зловживає розширеними повноваженнями з метою порушення цілісності системи, отримує кореневий доступ до пристроїв без чіткої згоди користувача чи його відома або використовує методи ПЗ, що маскується, щоб уникнути виявлення шкідливих дій. |
| Використовуйте інструменти для перевірки коду на наявність загроз безпеці або бекдорів, які дають змогу дистанційно виконувати небажані дії. | Не використовуйте сторонні SDK, які збирають і передають персональні дані з метою відстеження без належного повідомлення користувача й отримання його згоди (наприклад, програмне забезпечення для стеження). Не інтегруйте код, який призводить до оманливого стягнення коштів із використанням SMS, викликів або шахрайства з платними послугами зв’язку. |
| Переконайтеся, що сторонні SDK не збирають і/або не отримують дані користувача всупереч правилам і/або без належного повідомлення користувача й отримання його згоди (шпигунські програми). | Не використовуйте сторонні SDK, які виконують атаки типу "відмова в обслуговуванні" або завантажують зловмисне ПЗ. |
| Переконайтеся, що додаток не містить сторонніх SDK, які порушують модель дозволів Android, отримуючи розширені повноваження для незадекларованої цілі через доступ до даних на пристрої. |
Бекдори
Щоб захистити користувачів, ви повинні вилучити будь-який код, який діє як бекдор, тобто сприяє небажаним або шкідливим дистанційно керованим діям. Ознайомтеся з повним текстом правил, щоб забезпечити відповідність вимогам.
Код, що дозволяє виконувати на пристрої небажані, потенційно шкідливі та дистанційно керовані операції.
Під час цих операцій можуть автоматично виконуватися дії, що дозволять віднести додаток, двійковий код чи модифікацію фреймворку до однієї з інших категорій зловмисного програмного забезпечення. Загалом поняття "бекдор" визначає спосіб виконання на пристрої потенційно шкідливої операції, а тому його важко віднести до таких категорій, як "Шахрайство з платежами" чи "Комерційні шпигунські програми". Як наслідок, за певних умов Google Play Захист може розпізнавати деякий набір бекдорів як загрозу безпеці.
На що слід звернути увагу
| Потрібно | Заборонено |
| Ретельно перевіряйте код додатка й усі сторонні бібліотеки на наявність прихованих можливостей дистанційного керування. | Не додавайте приховані функції або можливості, які можна використати, щоб завдати шкоди користувачам. |
| Захищайте всі кінцеві точки віддаленого виконання від несанкціонованого доступу. | Не виконуйте обфускацію коду, щоб приховати функцію віддаленого доступу. |
| Негайно виправляйте відомі вразливості в додатку. | Не ігноруйте попередження про потенційні вразливості в залежностях. |
Шахрайство з платежами
Щоб уникнути шахрайства з платежами, ви повинні вилучити код, який вводить користувачів в оману, щоб стягувати з них плату без їхньої явної згоди. Це включає спонукання користувачів здійснювати небажані платежі або оформлювати підписки через шахрайство з SMS, дзвінками й платними послугами зв’язку. Ознайомтеся з повним текстом правил, щоб забезпечити відповідність вимогам.
Код, що автоматично стягує з користувача плату в явно оманливий спосіб.
Існує три види шахрайства з мобільними платежами: шахрайство з SMS, з дзвінками та з платними послугами зв’язку.
SMS-шахрайство
Код, що спричиняє стягування з користувача плати за надсилання без його згоди SMS-повідомлень завищеної вартості або намагається уникнути розкриття своїх дій, приховуючи від користувача угоди про розголошення й SMS-повідомлення від мобільного оператора щодо оплати чи підтвердження підписок.
Деякі коди формально вказують на надсилання SMS-повідомлень, але водночас містять додаткові механізми, що мають ознаки шахрайства з SMS. Це може бути приховування від користувача частин угоди про розголошення, відображення їх у нечитабельній формі й відхилення SMS-повідомлень від мобільного оператора щодо оплати чи підтвердження підписок.
Телефонне шахрайство
Код, що спричиняє стягування з користувача плати за здійснення без його згоди дзвінків на платні телефонні номери.
Шахрайство з рахунками на оплату
Код, що оманливим чином спонукає користувача придбати підписку чи контент через рахунок на оплату послуг мобільного зв’язку.
Шахрайство з платними послугами зв’язку не стосується стягнення коштів за платні SMS і виклики. Серед прикладів такого шахрайства: оплата через оператора, оплата за використання протоколу бездротового доступу (WAP) і передавання пакетних хвилин. Найпоширенішим типом є шахрайство з оплатою за використання протоколу бездротового доступу. До нього може належати спонукання користувача оманливим способом натиснути кнопку на непомітно завантаженому прозорому компоненті WebView. Після виконання потрібної дії оформлюється поновлювана підписка, а електронний лист чи SMS із підтвердженням часто зламується, щоб користувач не помітив фінансову трансакцію.
На що слід звернути увагу
| Потрібно | Заборонено |
| Перш ніж ініціювати фінансові трансакції, отримуйте явну й однозначну згоду користувача. | Не приховуйте й не маскуйте жодної інформації, пов’язаної з платежами чи підписками. |
| Переконайтеся, що вся інформація про платежі є чіткою, прозорою і добре видимою для користувача. | Не використовуйте приховані вебперегляди, а також не надсилайте платні SMS і не здійснюйте дзвінки автоматично без згоди користувача. |
| Надсилайте користувачу всі сповіщення про оплату через оператора. | Не використовуйте такі способи, як оплата через оператора, щоб спонукати користувача оформити підписку. |
Програмне забезпечення для стеження
Google Play забороняє додаткам збирати й передавати особисті та конфіденційні дані користувачів із метою стеження за ними. Виняток становлять лише додатки, створені спеціально для батьківського контролю або корпоративного керування, призначені для стеження за роботою працівників, за умови повного дотримання всіх суворих вимог. Ознайомтеся з повним текстом правил, щоб забезпечити відповідність вимогам.
Код, який збирає персональні чи чутливі дані користувачів на пристрої та передає їх третій особі (юридичній або фізичній) із метою відстеження.
Додатки мають надавати користувачам належне повідомлення про використання особистих даних і отримувати на це їхню згоду відповідно до правил щодо даних користувачів.
Рекомендації щодо додатків для стеження
Функції стеження можуть мати лише додатки, розроблені й призначені спеціально для того, щоб здійснювати нагляд за іншою фізичною особою, наприклад додатки для нагляду за дітьми або контролю над працівниками підприємства, за умови, що такі додатки повністю відповідають наведеним нижче вимогам. За допомогою таких додатків не можна стежити за певною особою (наприклад, чоловіком або дружиною) без її відома чи дозволу, навіть якщо при цьому відображається належне сповіщення. У файлі маніфесту таких додатків має міститися позначка метаданих IsMonitoringTool, щоб їх можна було обґрунтовано визначати як додатки для стеження.
Додатки для стеження повинні відповідати наведеним нижче вимогам.
- Такі додатки не можуть позиціонуватися як рішення для шпигунства чи таємного стеження.
- Додатки не можуть приховувати чи маскувати дії з відстеження або вводити в оману користувачів.
- Під час роботи таких додатків на екрані завжди має відображатися належне сповіщення, а самі додатки повинні мати унікальний значок, за яким їх можна ідентифікувати.
- На сторінках таких додатків у Google Play має чітко повідомлятися про функції нагляду чи стеження.
- У додатках і на їх сторінках у Google Play заборонено пропонувати способи активації або доступу до функцій, які порушують ці умови (як-от зв’язування з невідповідним файлом APK, розміщеним не в Google Play).
- Додатки не мають порушувати відповідне законодавство. Ви несете повну відповідальність за визнання законності свого додатка в цільовому регіоні.
На що слід звернути увагу
| Потрібно | Заборонено |
| Просувайте додаток лише як інструмент для батьківського контролю або корпоративного керування. | Не просувайте додаток як рішення для шпигунства або стеження. |
Додайте прапор IsMonitoringTool до маніфесту. |
Не дозволяйте стежити за дорослими особами, зокрема членами подружжя, навіть із їхнього дозволу. |
| Показуйте постійне сповіщення й унікальний значок під час роботи додатка. | Не приховуйте, не маскуйте функції відстеження й не вводьте користувача в оману щодо них. |
| Надавайте інформацію про всі функції відстеження в описі додатка. | Не додавайте посилання на файли APK, що не відповідають правилам і розміщені за межами Google Play. |
| Надавайте належне повідомлення про використання особистих даних і отримуйте згоду. | Не пропонуйте способи активації функцій, які порушують ці умови. |
Відмова в обслуговуванні (DoS)
Щоб захистити свій додаток і інші системи, ви повинні вилучити весь код, який без відома користувача атакує інші системи або генерує надмірне навантаження на мережу. Ознайомтеся з повним текстом правил, щоб забезпечити відповідність вимогам.
Код, який таємно від користувача здійснює атаку типу "відмова в обслуговуванні" (DoS) або є частиною розподіленої DoS-атаки на інші системи та пристрої.
Наприклад, для цього може надсилатися велика кількість запитів HTTP, що створюють надмірне навантаження на віддалені сервери.
На що слід звернути увагу
| Потрібно | Заборонено |
| Ретельно перевірте свій код і сторонні SDK на наявність зловживань мережею. | Не приховуйте й не вбудовуйте код, який генерує великий обсяг трафіку або мережевих запитів. |
| Переконайтеся, що всі запити до мережі з додатка є законними й необхідними для його роботи. | Не включайте функції, які можна активувати дистанційно для атаки на зовнішні системи. |
Зловмисні завантажувачі
Google Play забороняє завантажувачі зловмисного ПЗ – додатки, які завантажують інше небажане програмне забезпечення для мобільних пристроїв. Додаток вважається завантажувачем зловмисного ПЗ, якщо його розроблено з метою поширення небажаного програмного забезпечення для мобільних пристроїв або якщо принаймні 5% його завантажень належать до програм такого типу. Ці правила не поширюється на основні вебпереглядачі або файлообмінники, якщо вони завантажують програмне забезпечення лише за явною згодою і ініціативою користувача. Ознайомтеся з повним текстом правил, щоб забезпечити відповідність вимогам.
Код, що завантажує потенційно шкідливі додатки, хоча сам таким не є.
Код може бути зловмисним завантажувачем, якщо:
- існує причина вважати, що його створено з метою розповсюдження потенційно шкідливих додатків і він їх завантажив або містить частини, які можуть завантажувати та встановлювати додатки;
- він завантажив щонайменше 500 додатків, принаймні 5% із яких є потенційно шкідливими (завантажено 25 потенційно шкідливих додатків).
Найпоширеніші веб-переглядачі та додатки для обміну файлами не вважаються зловмисними завантажувачами, якщо:
- вони не ініціюють завантаження без участі користувача;
- усі завантаження потенційно шкідливих додатків ініціюються за згоди користувача.
На що слід звернути увагу
| Потрібно | Заборонено |
| Переконайтеся, що додаток не містить коду, який поширює небажане ПЗ для мобільних пристроїв. | Не включайте в додаток код, який поширює небажане ПЗ для мобільних пристроїв. |
| Стежте за тим, щоб обсяг завантажень небажаного ПЗ для мобільних пристроїв був значно менший за порогове значення (5%). | Не перевищуйте порогове значення (5%) небажаного ПЗ для мобільних пристроїв (наприклад, 25 небажаних додатків на 500 завантажень). |
| Якщо призначення додатка – завантажувати інші файли (наприклад, якщо це вебпереглядач або файлообмінник), переконайтеся, що всі завантаження додатків ініціюються користувачем, який надав на це згоду. | Якщо призначення додатка – завантажувати інші файли (наприклад, якщо це вебпереглядач або файлообмінник), не додавайте в нього функції, які дають змогу завантажувати додатки без явної взаємодії з користувачем. |
Загрози, спрямовані не на Android
Код, що містить загрози, спрямовані не на Android.
Такі додатки не становлять загрози для пристроїв Android чи їх користувачів, однак вони містять компоненти, що можуть зашкодити іншим платформам.
Фішинг
Необхідно вилучити весь код, який використовується для фішингу, тобто виманює облікові дані або платіжну інформацію користувача й надсилає їх третім особам. Ознайомтеся з повним текстом правил, щоб забезпечити відповідність вимогам.
Код, який видає себе за отриманий із надійного джерела, просить користувача вказати платіжну інформацію або облікові дані для автентифікації та надсилає їх стороннім особам. До цієї категорії також належить код, який перехоплює облікові дані користувача під час передавання.
Найчастіше об'єктами фішингу стають: облікові дані для доступу до банківських сервісів, номери кредитних карток, імена й паролі облікових записів у соціальних мережах та іграх.
На що слід звернути увагу
| Потрібно | Заборонено |
| Використовуйте офіційні API і безпечні методи для обробки облікових даних та платіжної інформації користувача. | Не видавайте себе за надійне джерело, щоб спонукати користувача надати особисті або фінансові дані. |
| Переконайтеся, що всі дані користувача передаються безпечно, а треті особи не можуть їх прочитати. | Не перехоплюйте й не збирайте облікові дані або чутливу інформацію користувача без згоди. |
| Чітко інформуйте користувача про те, які дані ви запитуєте й навіщо. | Не надсилайте конфіденційну інформацію третім особам без відповідного інформування і явної згоди користувача. |
Неавторизоване отримання ширших прав
Щоб уникнути порушень, пов’язаних зі зловживанням розширеними повноваженнями, переконайтеся, що ваш додаток не містить код, який отримує розширені повноваження або зламує ізольоване програмне середовище безпеки Android. Зокрема, це стосується коду, який викрадає облікові дані з інших додатків, обходить модель дозволів Android або вимикає основні функції безпеки. Ваш додаток також має поважати право користувача керувати своїм пристроєм. Ознайомтеся з повним текстом правил, щоб забезпечити відповідність вимогам.
Код, що порушує цілісність системи, зламуючи ізольоване програмне середовище додатка, отримуючи додаткові права або змінюючи чи забороняючи доступ до компонентів, пов'язаних із головними функціями безпеки.
Нижче наведено кілька прикладів.
- Додатки, що порушують модель дозволів Android або викрадають облікові дані (як-от маркери OAuth) з інших додатків.
- Додатки, що неправомірно використовують функції, які запобігають їх видаленню чи зупинці.
- Додатки, що деактивують SELinux.
Додатки для розширення прав, які отримують доступ до пристрою на кореневому рівні без дозволу користувача, належать до категорії додатків для використання пристроїв на кореневому рівні.
На що слід звернути увагу
| Потрібно | Заборонено |
| Розробляйте код, який відповідає моделі дозволів Android. | Не створюйте додатки, які ставлять під загрозу систему, обходячи обмеження ізольованого програмного середовища. |
| Розробіть свій додаток так, щоб він працював зі стандартними повноваженнями користувача. | Не пишіть код, який забороняє користувачу видаляти додаток. |
Програми-шантажисти
Програми-вимагачі – це шкідливе програмне забезпечення, яке блокує пристрій або дані користувача й вимагає оплати чи виконання певної дії для відновлення контролю. Заборонено блокувати користувачів, шифрувати дані або перешкоджати видаленню. Ці правила захищають користувачів від вимагання. Ознайомтеся з повним текстом правил, щоб забезпечити відповідність вимогам.
Код, що отримує частковий або повний контроль над пристроєм чи даними й вимагає від користувача здійснити оплату чи виконати певну дію для повернення контролю.
Певні програми-шантажисти шифрують дані на пристрої й вимагають оплату за розшифрування та/або змінюють функції адміністрування пристрою так, що пересічний користувач не може їх видалити. Нижче наведено кілька прикладів.
- Блокування доступу користувача до пристрою й вимагання оплати за повернення контролю.
- Шифрування даних на пристрої та вимагання оплати нібито за дешифрування.
- Змінення функцій менеджера правил пристрою та блокування можливості користувача видалити шкідливий код.
Код, що поширюється разом із субсидованими пристроями з метою керування ними, можна виключити з категорії програм-шантажистів, якщо в ньому дотримано вимог стосовно безпечного блокування й керування, користувача належним чином повідомлено про відповідні функції й отримано його згоду.
На що слід звернути увагу
| Потрібно | Заборонено |
| Переконайтеся, що код додатка не містить жодних шкідливих функцій програм-вимагачів. | Не шифруйте дані користувачів і не обмежуйте їхній доступ до пристроїв. |
| Отримуйте явну згоду на використання будь-яких функцій керування пристроєм. | Не використовуйте функції адміністратора пристрою, щоб блокувати видалення. |
| Пропонуйте користувачам зрозумілий і простий спосіб видалення додатка. | Не вимагайте оплати чи дій для відновлення контролю над пристроєм. |
Надання доступу до кореневого рівня
Google Play дозволяє отримання кореневого доступу, якщо це не становить загрози, але забороняє використовувати шкідливий код для цього. Необхідно заздалегідь повідомити користувача про отримання кореневого доступу й переконатися, що ваш додаток не виконує інших шкідливих дій. Мета полягає в тому, щоб користувачі свідомо погоджувалися на цю суттєву зміну на пристрої і не наражалися на ризик подальших шкідливих дій. Ознайомтеся з повним текстом правил, щоб забезпечити відповідність вимогам.
Код, що дозволяє використовувати пристрій на кореневому рівні.
Існує різниця між шкідливими та нешкідливими кодами для використання пристрою на кореневому рівні. Наприклад, нешкідливий додаток для використання пристрою на кореневому рівні заздалегідь попереджає користувача про отримання доступу до кореневого рівня пристрою та не вчиняє інших дій, характерних для інших категорій потенційно шкідливих додатків.
Шкідливі додатки для використання пристрою на кореневому рівні не попереджають користувача про отримання доступу до кореневого рівня або попереджають, однак вчиняють дії, характерні для інших категорій потенційно шкідливих додатків.
На що слід звернути увагу
| Потрібно | Заборонено |
| Інформуйте користувача про те, що додаток отримає кореневий доступ до пристрою. | Не отримуйте кореневий доступ до пристрою без відома користувача. |
| Отримуйте явну згоду користувача на кореневий доступ. | Не виконуйте інші шкідливі дії в додатку з кореневим доступом. |
| Переконайтеся, що код додатка не містить інших шкідливих функцій. | Не використовуйте код для кореневого доступу, щоб приховати інші шкідливі функції. |
Спам
Шпигунські програми
Google Play забороняє зловмисне збирання й передавання даних користувачів або пристроїв. Незалежно від наявності згоди користувача чи повідомлення про використання особистих даних збирати й передавати такі дані можна лише для виконання функції, що відповідає правилам Google Play. Ознайомтеся з повним текстом правил, щоб забезпечити відповідність вимогам.
Шпигунські програми – це шкідливі додатки, код чи дії, які збирають, розкривають або передають третім особам дані користувачів чи пристороїв усупереч правилам.
До шпигунських програм також належить шкідливий код чи дії, які можуть вважатися шпигуванням за користувачем або які призводять до розкриття даних користувача без отримання його згоди чи повідомлення про це.
Шпигунські дії, зокрема, включають:
- записування аудіо чи телефонних розмов;
- викрадення даних додатків;
- передавання даних із пристрою за допомогою стороннього коду (наприклад, SDK) неочікуваним для користувача способом без отримання його згоди чи повідомлення про це.
Усі додатки мають відповідати Правилам програми для розробників додатків у Google Play, зокрема пов’язаним із даними користувачів і пристроїв, наприклад правилам щодо небажаного програмного забезпечення для мобільних пристроїв, правилам щодо даних користувачів, правилам щодо дозволів і інтерфейсів API із доступом до чутливої інформації і вимогам щодо пакетів SDK.
На що слід звернути увагу
| Потрібно | Заборонено |
| Надавайте чітке повідомлення й отримуйте явну згоду користувача, перш ніж виконувати будь-які дії зі збирання або передавання даних. | Не дозволяйте стороннім пакетам SDK у додатку записувати аудіо, дзвінки чи отримувати дані додатка без явної згоди користувача або якщо використовуються функції, що не відповідають правилам. |
| Ведіть журнал і уважно перевіряйте всі спроби доступу до даних і їх передавання через сторонні SDK, щоб виявляти й блокувати дії з несанкціонованого отримання даних. | Не вдавайтеся до прихованого збирання даних і не збирайте більше інформації, ніж потрібно додатку для його заявленої мети. |
| Переконайтеся, що пакети SDK, інтегровані в додаток, збирають лише мінімально необхідні дані, а їх призначення або поведінка не призводять до порушення правил Google Play. | Не включайте в додаток сторонні SDK, які передають дані неочікуваними способами або без належної згоди. |
| Не припускайте, що методи збирання даних сторонніми пакетами SDK у додатку відповідають вимогам, якщо ви ретельно їх не перевірили. |
Троянські програми
Троянська програма – це код із прихованим шкідливим компонентом. Ці правила забороняють додатки, які виконують небажані дії щодо користувача без його відома. Як розробник ви повинні переконатися, що код вашого додатка прозорий і не містить прихованих шкідливих функцій. Ознайомтеся з повним текстом правил, щоб забезпечити відповідність вимогам.
Код, що видається безпечним, наприклад гра, що виглядає як просто гра, однак виконує небажані дії стосовно користувача.
Зазвичай цю категорію потенційно шкідливих додатків використовують у поєднанні з іншими. Троянська програма містить безпечний компонент і прихований шкідливий компонент. Це може бути, наприклад, гра, що непомітно й у фоновому режимі надсилає з пристрою користувача SMS-повідомлення підвищеної вартості.
На що слід звернути увагу
| Потрібно | Заборонено |
| Переконайтеся, що код додатка прозорий і відповідає заявленому призначенню. | Не приховуйте шкідливі функції під виглядом безпечного додатка. |
| Переконайтеся, що користувачу надано вичерпну інформацію про всі функції додатка. | Не виконуйте фонові дії без відома і явної згоди користувача. |
| Переконайтеся, що будь-які включені сторонні пакети SDK безпечні й не містять прихованих функцій. | Не вводьте користувача в оману щодо справжнього призначення додатка. |
Зауваження щодо незвичних додатків
Якщо Google Play Захист не має достатньо інформації для перевірки безпеки вашого нового додатка, його може бути віднесено до категорії "нетипових". Цей статус не означає, що ваше програмне забезпечення шкідливе, але його потрібно додатково перевірити. Ознайомтеся з повним текстом правил, щоб забезпечити відповідність вимогам.
На що слід звернути увагу
| Потрібно | Заборонено |
| Надавайте повну й точну інформацію на сторінці додатка. | Не приховуйте функції і не використовуйте обфускований код. |
| Переконайтеся, що код додатка чистий і добре задокументований для перевірки. | Не використовуйте неперевірені сторонні бібліотеки. |
Примітка щодо категорії бекдорів
Бекдор – це код, який дає змогу виконувати шкідливі дії. Якщо динамічне завантаження коду використовується для виконання шкідливих дій, ваш додаток порушуватиме правила. Переконайтеся, що код вашого додатка не дозволяє виконувати жодні приховані шкідливі функції. Якщо вразливість буде виявлено без зловмисного наміру, у вас буде можливість її виправити. Ознайомтеся з повним текстом правил, щоб забезпечити відповідність вимогам.
Код можна класифікувати як бекдор, ґрунтуючись на його поведінці. Щоб код вважався бекдором, він обов'язково має дозволяти операцію, автоматичне виконання якої дасть змогу віднести код до будь-якої іншої категорії зловмисного програмного забезпечення. Наприклад, якщо додаток дозволяє динамічне завантаження коду й завантажений таким чином код видобуває текстові повідомлення, додаток вважатиметься бекдором.
Однак якщо додаток дозволяє виконання довільного коду, але в нас немає причин вважати, що виконання такого коду покликано ініціювати зловмисну операцію, ми вважатимемо, що цей додаток містить вразливість, але не є не бекдором, і попросимо розробника додати виправлення.
На що слід звернути увагу
| Потрібно | Заборонено |
| Ретельно перевіряйте будь-який код, який виконується динамічно. | Не використовуйте динамічне завантаження коду для прихованих шкідливих дій. |
| Переконайтеся, що код додатка не містить уразливостей, якими можна було б скористатися. | Не дозволяйте виконання довільного коду без ретельних перевірок безпеки. |
| Негайно виправляйте будь-які вразливості безпеки, виявлені в додатку. | Не використовуйте неперевірені сторонні бібліотеки, які можуть спричинити появу бекдору. |
Потенційно небезпечне програмне забезпечення
Потенційно небезпечне ПЗ – це додаток, який використовує техніки обходу, щоб приховувати шкідливі функції. Він маскується під безпечний додаток, використовуючи такі методи, як обфускація або динамічне завантаження коду, щоб згодом розкрити свій шкідливий контент. Ви повинні забезпечити прозорість свого додатка й не використовувати такі методи для обману рецензентів чи користувачів. Ознайомтеся з повним текстом правил, щоб забезпечити відповідність вимогам.
Додатки, які приховано пропонують користувачам функції, що відрізняються від заявлених. Такі додатки видають себе за звичайні додатки й ігри в магазинах додатків, щоб здаватися користувачам безпечними, і приховують потенційно небезпечний контент за допомогою таких методів, як заплутування, динамічне завантаження коду й маскування.
Потенційно небезпечне програмне забезпечення схоже на потенційно шкідливі додатки з інших категорій, зокрема на троянські програми. Його головна відмінність полягає в тому, як воно маскує зловмисну діяльність.
На що слід звернути увагу
| Потрібно | Заборонено |
| Переконайтеся, що код додатка зрозумілий і його легко переглянути. | Не використовуйте обфускацію або маскування, щоб приховати функції. |
| Надавайте повну інформацію про всі функції додатка. | Не використовуйте динамічне завантаження коду, щоб показувати шкідливий контент. |
| Надавайте інформацію про всі функції в описі додатка. | Не допускайте, щоб додаток працював по-різному для рецензентів і користувачів. |
Help us improve this policy article by taking a 2-minute survey.