Malware a nežádoucí software

Google weby kontroluje s cílem zjistit, zda nehostují software nebo spustitelné soubory ke stažení, které mají negativní vliv na prostředí pro uživatele. Seznam podezřelých souborů hostovaných na vašem webu najdete v přehledu Bezpečnostní problémy.

OTEVŘÍT PŘEHLED BEZPEČNOSTNÍCH PROBLÉMŮ

Souhrn

Malware a nežádoucí software mají podobu binárního kódu ke stažení nebo aplikací, které běží na webu a ovlivňují návštěvníky.

Co je to malware?

Malware je software nebo mobilní aplikace navržená s cílem poškodit počítač, mobilní zařízení, software nebo uživatele. Chování malwaru může zahrnovat například instalaci softwaru bez souhlasu uživatele nebo instalaci škodlivého softwaru, například virů. Webmasteři si někdy neuvědomují, že jsou jejich soubory ke stažení považovány za malware. Tyto binární soubory proto mohou být hostovány neúmyslně.

Co je to nežádoucí software?

Nežádoucí software je spustitelný soubor nebo mobilní aplikace, jejíž chování je klamavé nebo neočekávané, případně negativně ovlivňuje prostředí počítače nebo prohlížeče. Může se jednat například o software, který nežádoucím způsobem mění domovskou stránku nebo jiné nastavení prohlížeče, nebo o aplikace, které předávají soukromé a osobní informace, aniž by o tom uživatele jasně informovaly.

 

V přehledu Bezpečnostní problémy se slovem „malware“ označuje škodlivý software na webech, který působí bez přímé akce uživatele. „Škodlivý obsah ke stažení“ je škodlivý nebo nežádoucí software, který si uživatel přímo stáhne.

Pokyny

Dejte pozor, abyste neporušovali zásady ohledně nežádoucího softwaru, a postupujte podle zde uvedených pokynů. Tento seznam není vyčerpávající. Uvedená chování však mohou způsobit, že se uživatelům při stahování aplikací nebo při návštěvě webů zobrazí upozornění. Seznam podezřelých souborů hostovaných na vašem webu najdete v přehledu Bezpečnostní problémy.

Neprezentujte klamavá tvrzení

  • Pravdivě a přesně uživatele informujte o účelu softwaru. Uživatelé by software měli stahovat úmyslně kliknutím na pravdivou reklamu, která uživatele jasně informuje o tom, co bude staženo. Reklamy, které uživatele vedou ke stažení, by neměly být klamavé ani nepřesné, jako například následující: 
    • Reklamy inzerující aktualizaci přehrávače Flash, které vedou ke stažení programu, který s přehrávačem Flash nijak nesouvisí.
    • Reklama, která obsahuje pouze slova „Stáhnout“ nebo „Přehrát“, aniž by uváděla, o jaký software se jedná.
    • Tlačítko Přehrát, které vede ke stažení.
    • Reklama, která napodobuje vzhled webu majitele stránek a inzeruje nabídku obsahu (například filmu), ale ve skutečnosti vede na nesouvisející software.
    • Přečtěte si na našem blogu Online Security Blog příspěvek o sociálním inženýrství.
  • Program by se měl chovat tak, jak je inzerováno. Uživatel by měl být jasně informován o funkcích a účelu programu. Pokud program shromažduje údaje o uživateli nebo do prohlížeče vkládá reklamy, jasně uživatele o těchto chováních informujte a nepodstrkávejte je jako nepodstatné funkce.
  • Jasně uživateli vysvětlete, jaké změny provede software v prohlížeči a systému. Umožněte uživatelům při instalaci zkontrolovat a schválit všechny zásadní možnosti a změny. V hlavním uživatelském rozhraní vašeho programu by měly být jasně popsány součásti binárního kódu a jejich primární funkce. Binární kód by měl uživateli nabídnout jednoduchý způsob, jak přeskočit instalaci přibalených součástí. Skrytí těchto možností nebo použití šedého textu není dobré zveřejnění.
  • Informace o schválení softwaru třetími stranami používejte pouze v případě, že k tomu máte oprávnění. Nepoužívejte neautorizovaným způsobem loga jiných společností k legitimizaci svého produktu nebo k vyvolání dojmu, že jej daná společnost schválila. Nepoužívejte bez oprávnění loga státních institucí. 
  • Nestrašte uživatele. Software by uživateli neměl prezentovat klamavá sdělení o stavu jeho počítače, například by neměl nepravdivě tvrdit, že je systém ohrožen kritickou chybou zabezpečení nebo že je zavirován. Software by neměl tvrdit, že poskytuje službu, kterou ve skutečnosti neposkytuje nebo ani poskytovat nemůže (například zrychlení počítače). Například „bezplatné“ nástroje na vyčištění a optimalizaci počítače by měly být inzerovány jako bezplatné pouze v případě, že inzerované služby a komponenty skutečně nevyžadují žádnou platbu.

Pokyny týkající se softwaru

  • Pokud váš program mění nastavení Chromu, použijte rozhraní Google Settings API. Veškeré změny výchozího vyhledávače, počáteční stránky a stránky Nová karta musejí být provedeny prostřednictvím rozhraní Chrome Settings Override API, které vyžaduje použití rozšíření pro Chrome a kompatibilního postupu jeho instalace.
  • Povolte prohlížeči a operačnímu systému zobrazit uživateli odpovídající upozornění. Nepotlačujte upozornění, která uživateli zobrazuje prohlížeč nebo operační systém, zejména ta, která uživatele informují o změnách v prohlížeči nebo operačním systému. 
  • Doporučujeme vám, abyste svůj kód podepsali. Ačkoli nepodepsání binárního kódu není důvodem k jeho označení za nechtěný software, doporučujeme, aby programy měly platný a ověřený podpis kódu vydaný certifikační autoritou, který prezentuje ověřitelné informace o vydavateli.
  • Nedegraduje bezpečnostní a ochranná opatření poskytovaná připojeními TLS/SSL. Aplikace nesmí instalovat kořenový certifikát certifikační autority. Nesmí také zachycovat připojení SSL/TLS (pokud není určena expertům a vývojářům k ladění nebo zkoumání softwaru). Podrobnosti naleznete v souvisejícím příspěvku na bloku Google Security Blog.
  • Chraňte data uživatele. Software (včetně mobilních aplikací) smí přenášet soukromá data uživatelů na servery pouze v souvislosti s funkcí aplikace. Uživatel o takových přenosech také musí být informován a musejí být šifrované.
  • Nikomu neškoďte. Váš binární kód by měl respektovat uživatelské prostředí v prohlížeči a neměl by ho nijak poškozovat. Zkontrolujte, zda je veškerý binární kód ke stažení v souladu s následujícími obecnými zásadami:
    • Nenarušujte funkci resetování prohlížeče. Přečtěte si o tlačítku Resetovat nastavení prohlížeče v Chromu.
    • Při změnách nastavení neobcházejte ovládací prvky uživatelského rozhraní prohlížeče ani operačního systému. Váš program by měl uživatele o změnách nastavení prohlížeče náležitě informovat a ponechat jim nad nimi kontrolu. Ke změně nastavení Chromu používejte rozhraní Settings API (viz tento příspěvek v blogu Chromium Blog).
    • Funkce prohlížeče Google Chrome měňte prostřednictvím rozšíření. Neměňte je jinými programovými prostředky. Váš program by například neměl vkládat reklamy do prohlížeče pomocí knihoven DLL (Dynamically Linked Library), neměl by instalovat nástroje, které zachycují síťový provoz, neměl by blokovat uživatelské akce pomocí Zprostředkovatele služeb vrstev a neměl by vkládat nové prvky uživatelského rozhraní na každou webovou stránku změnou binárního kódu prohlížeče Chrome.
    • Váš produkt ani popisy součástí by uživatele neměly strašit a neměly by obsahovat nepravdivá ani zavádějící tvrzení. Produkt by například neměl obsahovat nepravdivá tvrzení o tom, že je systém uživatele ohrožen kritickou chybou zabezpečení nebo zavirován. Programy, jako jsou nástroje na vyčištění registru, by neměly zobrazovat děsivé zprávy o stavu počítače nebo zařízení uživatele a tvrzení, že počítač dokážou optimalizovat.
    • Poskytněte odinstalační proces, který bude možné snadno najít, bude jednoduchý a nebude ohrožovat zabezpečení. Program musí obsahovat jasné pokyny, jak prohlížeč nebo systém vrátit do předchozího nastavení. Odinstalační program musí odstranit všechny komponenty a nesmí uživatele odrazovat od pokračování v odinstalaci (například tvrzením, že odinstalování softwaru může mít negativní vliv na stav systému nebo zabezpečení).
  • Buďte v dobré společnosti. Pokud společně se svým softwarem zahrnujete další softwarové komponenty, je vaší odpovědností zajistit, aby žádné z těchto komponent neporušovaly výše uvedená doporučení.

Pokyny týkající se rozšíření pro Chrome

  • K zajištění souladu se zásadami musí být uživatel o všech rozšířeních informován a musejí být nainstalována v Chromu. Rozšíření musejí být hostována v Internetovém obchodě Chrome, ve výchozím nastavení musejí být zakázána a musejí být v souladu se zásadami Internetového obchodu Chrome (včetně zásady jednoho účelu). Rozšíření nainstalovaná z programu musejí používat autorizovaný proces instalace rozšíření pro Chrome, při kterém se uživateli zobrazí výzva k jejich povolení v Chromu. Rozšíření nesmějí potlačovat dialogy Chromu, které uživatele upozorňují na změny nastavení.
    Vyskakovací okno Chromu se žádostí o schválení instalace rozšíření
  • Informujte uživatele o tom, jak rozšíření pro Chrome odstranit. Za účelem zajištění dobrého uživatelského dojmu by při odinstalaci programu mělo být odstraněno vše, co bylo nainstalováno společně s ním. Proces odinstalace by měl zahrnovat pokyny, podle kterých uživatel rozšíření bude moci odinstalovat a smazat sám.
  • Pokud váš binární kód instaluje doplněk prohlížeče nebo mění jeho výchozí nastavení, musí tak činit v souladu s podporovaným procesem instalace a rozhraním API. Pokud například binární kód instaluje rozšíření pro Chrome, toto rozšíření musí být hostováno v Internetovém obchodě Chrome a musí být v souladu s programovými zásadami pro vývojáře Chrome. Pokud váš binární kód instaluje rozšíření pro Chrome v rozporu se zásadami ohledně alternativních možností distribuce rozšíření pro Chrome, bude považován za malware.
Pokyny k mobilním aplikacím
  • Informujte uživatele o svém záměru shromažďovat jejich data. Dejte uživatelům možnost vyjádřit souhlas se shromažďováním dat ještě předtím, než je začnete shromažďovat a odesílat ze zařízení. Týká se to dat o účtech třetích stran, e‑mailech, telefonních číslech, nainstalovaných aplikacích a souborech v mobilním zařízení. S osobními a citlivými údaji o uživatelích, které shromáždíte, je třeba nakládat zabezpečeným způsobem a přenášet je s využitím moderního šifrování (např. pomocí protokolu HTTPS). U aplikací mimo službu Play je třeba o shromažďování dat informovat přímo v aplikaci. U aplikací distribuovaných na Google Play je třeba tyto informace poskytnout v souladu se zásadami služby Play. Neshromažďujte data, která nesouvisejí s deklarovaným účelem aplikace.

  • Nevydávejte se za jinou značku nebo aplikaci. Nepoužívejte zavádějící nebo neautorizované obrázky a design, který se podobá jiné značce nebo aplikaci a mohl by uživatele zmást.

  • Veškerý obsah zobrazujte v kontextu aplikace. Aplikace nesmějí zasahovat do jiných aplikací ani narušovat použitelnost zařízení. Pokud aplikace uživatelům chtějí zobrazovat reklamy nebo jiný dodatečný obsah mimo svůj vlastní kontext a své vlastní funkce, musejí k tomu od uživatele získat informovaný souhlas a vždy u takových reklam uvádět zdroj.

  • Aplikace by měla splnit sliby dané uživateli. Uživatel by měl mít k dispozici všechny funkce aplikace, které byly inzerovány. Aplikace mohou svůj obsah aktualizovat, ale bez informovaného souhlasu uživatele nesmí stahovat jiné aplikace.

  • Chování aplikace musí být transparentní. Pokud to není jejich deklarovaný účel, neměly by aplikace odinstalovávat ani nahrazovat jiné aplikace ani jejich zkratky. Odinstalace musí být nekomplikovaná a úplná. Aplikace nesmí napodobovat výzvy operačního systému ani jiných aplikací.

Aplikace distribuované prostřednictvím Google Play musejí být v souladu s programovými zásadami pro vývojáředistribuční smlouvou pro vývojáře, které mají další požadavky.

Řešení problému

Zajistěte, aby web nebo aplikace byla v souladu s výše uvedenými pokyny, a poté můžete v přehledu Bezpečnostní problémy požádat o kontrolu.

Pokud se ve vaší mobilní aplikaci zobrazují upozornění, přečtěte si o ověření aplikace a odvolání.

 

Pomohly vám tyto informace?
Jak bychom článek mohli vylepšit?