Keresés
Keresés törlése
Keresés bezárása
Google-alkalmazások
Főmenü

Rosszindulatú és nemkívánatos szoftverek

A Google ellenőrzi, hogy a webhelyek tárolnak-e letölthető futtatható fájlokat, amelyek negatívan befolyásolják a felhasználói élményt. A webhelyén tárolt gyanús fájlok listáját a Biztonsági problémák jelentésben találja.

A Biztonsági problémák jelentés megnyitása

Áttekintés

Mi a rosszindulatú program?

Rosszindulatú programnak nevezünk minden olyan szoftvert vagy mobilalkalmazást, amelyet kifejezetten abból a célból készítettek, hogy kárt okozzon a számítógépnek, a mobileszköznek, az ezeken futó szoftvernek vagy a felhasználónak. A rosszindulatú programok kártékony módon viselkednek, például szoftvereket telepítenek a felhasználó beleegyezése nélkül, valamint ártalmas szoftvereket (például vírusokat) telepítenek. A webmesterek néha nincsenek tisztában vele, hogy letölthető fájljaikat a rendszer rosszindulatú programként kezeli, ezért ezeket a bináris fájlokat néha vétlenül tárolják.

Mi az a nemkívánatos szoftver?

A nemkívánatos szoftver olyan futtatható fájl vagy mobilalkalmazás, amely megtévesztő vagy váratlan módon viselkedik, illetve amelynek viselkedése negatív hatással van a felhasználó böngészési vagy számítógép-használati élményére. Ilyen nemkívánatos viselkedés például, ha az Ön akarata ellenére megváltoztatja kezdőlapot vagy más böngészőbeállításokat, vagy ha megfelelő tájékoztatás nélkül kiadja az Ön privát, személyes adatait.

  • Ha további információt szeretne arról, hogy miként óvja a Google a felhasználókat a nem kívánt szoftverektől, olvassa el a That’s not the download you’re looking for… (Nem ezt a letöltést keresi…) című bejegyzést a Google online biztonsági blogjában.

Irányelvek

Győződjön meg róla, hogy nem sérti meg a nemkívánatos szoftverekre vonatkozó irányelveket, és tartsa be az alábbi alapelveket. A lista ugyan nem teljes, azonban a felsoroltakhoz hasonló viselkedés esetén az alkalmazások és webhelyek figyelmeztetéseket jeleníthetnek meg a felhasználóknak letöltés vagy megnyitás esetén. A webhelyén tárolt gyanús fájlok listáját a Biztonsági problémák jelentésben találja.

Ne adjon meg magáról megtévesztő információkat

  • Pontosan tájékoztassa a felhasználókat a szoftver céljáról és szándékáról. A felhasználóknak saját szándékuk szerint kell letölteniük a szoftvert úgy, hogy pontosan tudnak arról, hogy mit fognak letölteni, hiszen egy pontos hirdetésre kattintanak, amelyből tájékoztatást kapnak a letöltésről. A felhasználót a letöltéshez irányító hirdetések nem lehetnek megtévesztők vagy pontatlanok, mint például az alábbiak esetén: 
    • Olyan hirdetés, amely Flash-frissítést ígér, azonban a letöltött programnak nincs köze a Flash-hez.
    • Olyan hirdetés, amely csak a „Letöltés” vagy a „Lejátszás” szót tartalmazza a meghirdetett szoftver azonosítása nélkül.
    • „Lejátszás” gomb, amely egy letöltéshez vezet.
    • Olyan hirdetés, amely a megjelenítő webhelyének megjelenését utánozza, és úgy tesz, mintha tartalmat (például egy filmet) kínálna, de ehelyett a témához nem kapcsolódó szoftvert telepít.
    • Tájékozódjon bővebben a bizalomra épülő manipulatív befolyásolásról az online biztonságról szóló blogunkban.
  • A viselkedés feleljen meg a hirdetésben szereplő információknak. Programjának egyértelmű tájékoztatást kell közölnie a funkcióiról és szándékairól. Ha a program felhasználói adatokat gyűjt, vagy hirdetéseket épít be a felhasználó böngészőjébe, egyértelműen hívja fel erre a figyelmet, és ne úgy tüntesse fel, mintha lényegtelen jellemzőkről lenne szó.
  • Partneri kapcsolatot csak akkor tüntessen fel, ha erre engedélye van. Ne használja más vállalatok emblémáit engedély nélkül valamilyen termék legitimizálására vagy promóciójához. Állami szervek emblémái csak engedéllyel használhatók. 
  • Ne ijessze meg a felhasználót. A szoftver nem közölheti valótlanul a készülék állapotát a felhasználóval, például nem állíthatja hamisan azt, hogy a rendszer biztonsági állapota kritikus, vagy hogy a rendszer vírusokkal fertőzött. A szoftver nem állíthatja, hogy olyan szolgáltatást kínál (például „a számítógép felgyorsítása”), amelyet nem nyújt, illetve nem képes nyújtani. Például az „ingyenes” számítógép-tisztítók és -optimalizálók csak akkor hirdethetők ingyenesként, ha a meghirdetett szolgáltatásokért és összetevőkért valóban nem kell fizetni.

Szoftverekre vonatkozó irányelvek

  • Használja a Google-beállítások API-t, ha a program módosítja a Chrome beállításait. A felhasználó alapértelmezett keresési beállításait, kezdőlapját, illetve új lap oldalát érintő minden módosítást a Chrome Settings Override API használatával kell végrehajtani – az API használatához egy Chrome-bővítmény, továbbá az előírásoknak megfelelő bővítménytelepítési folyamat szükséges. 
  • Engedélyezze, hogy a böngésző és az operációs rendszer párbeszédpanelei normál módon figyelmeztethessék a felhasználót. Ne rejtse el a böngésző vagy operációs rendszer felhasználó számára megjelenített riasztásait, különös tekintettel azokra, amelyek a böngésző vagy az operációs rendszer megváltoztatásáról tájékoztatják a felhasználót. 
  • Javasoljuk, hogy írja alá a kódot. Ugyan az aláíratlan bináris kód még nem ok arra, hogy kódja nemkívánatos szoftverként legyen megjelölve, mégis azt javasoljuk, hogy a programok rendelkezzenek érvényes és ellenőrzött kódaláírással, amely ellenőrizhető közzétevői adatokat közlő kódaláíró szervezettől származik.
  • Ne csökkentse a TLS-/SSL-kapcsolatok által biztosított biztonsági és védelmi intézkedések szintjét. Az alkalmazások nem telepíthetik a legfelső szintű hitelesítésszolgáltató tanúsítványát. Továbbá nem akadályozhatják az SSL-/TLS-kapcsolatokat – kivéve abban az esetben, ha az alkalmazás célja, hogy szakemberek szoftvereket javítsanak meg vagy vizsgáljanak ki. További részletekért lásd a Google Security Blogon található blogbejegyzést.
  • Védje a felhasználók adatait. A szoftverek és a mobilalkalmazások csak olyan privát felhasználói adatokat küldhetnek el a szervereknek – megfelelően titkosítva –, amelyek az alkalmazás működéséhez szükségesek, és erről tájékoztatniuk kell a felhasználókat.

A Chrome-bővítményekre vonatkozó irányelvek

  • Ahhoz, hogy egy bővítmény megfeleljen az irányelveknek, közzé kell tenni, és telepíteni kell a Chrome-ban. A bővítményeket a Chrome Internetes áruházban kell tárolni, alapértelmezés szerint kikapcsolt állapotban kell lenniük, és meg kell felelniük a Chrome Internetes áruház irányelveinek (beleértve a meghatározott céllal kapcsolatos irányelvet is). A programokból telepített bővítményeknek követniük kell a Chrome-bővítmények engedélyezett telepítési folyamatát, amelynek keretében a felhasználót a rendszer arra kéri, hogy kapcsolja be őket a Chrome-on belül. A bővítmények nem rejthetik el a Chrome párbeszédpaneleit, amelyek felhívják a felhasználó figyelmét a beállítások változásaira.
    A Chrome-ban megjelenő előugró ablak bővítmény telepítéséhez kér jóváhagyást.
  • Tájékoztassa a felhasználókat a Chrome-bővítmény eltávolításának módjáról. Akkor biztosítható a jó felhasználói élmény, ha a program eltávolításával minden vele együtt települő dolog eltűnik. Az eltávolítási folyamatnak utasításokat kell tartalmaznia a felhasználó számára arról, hogy miként tilthatja le, illetve törölheti a bővítményt.

Mobilalkalmazásokra vonatkozó irányelvek

  • Tájékoztassa a felhasználókat adatgyűjtési szándékáról.  Még az előtt biztosítson lehetőséget a felhasználóknak arra, hogy hozzájárulhassanak az adataik gyűjtéséhez, mielőtt elkezdené az adatgyűjtést (ez vonatkozik a harmadik feleknél fenntartott fiókokkal, a telepített alkalmazásokkal és a mobileszközön tárolt fájlokkal kapcsolatos adatokra is). A személyes vagy bizalmas felhasználói adatok gyűjtését biztonságos módon kell végezni – beleértve az adatok modern titkosítási eszközökkel történő átvitelét is (például HTTPS protokoll használatával). A nem a Playen terjesztett alkalmazások esetében az adatok gyűjtéséről az alkalmazáson belül kell tájékoztatnia a felhasználókat. A Google Playen terjesztett alkalmazások esetében a tájékoztatásnak meg kell felelnie a Google Play irányelveinek. Ne gyűjtsön olyan adatokat, amelyek nem kapcsolódnak az alkalmazás kinyilvánított használati céljához.

  • Ne éljen vissza más márkák vagy alkalmazások adataival. Ne használjon helytelenül vagy illetéktelenül olyan képeket vagy dizájnt, amelyek más márkára vagy alkalmazásra hasonlítanak, és amelyek könnyen megzavarhatják a felhasználókat.

  • Minden tartalom maradjon az alkalmazás környezetén belül. Az alkalmazás nem zavarhat más alkalmazásokat, illetve nem jeleníthet meg hirdetéseket vagy további tartalmakat a felhasználónak az alkalmazás környezetén kívül, vagy a funkciójához nem kapcsolódó módon.

  • Az alkalmazásnak be kell tartania a felhasználóknak tett ígéreteket. Az összes meghirdetett funkciónak rendelkezésre kell állnia a felhasználó számára az alkalmazásban. Az alkalmazás letölthet saját tartalmat, de nem tölthet le más alkalmazásokat anélkül, hogy erről tájékoztatná a felhasználót, és a beleegyezését kérné.

  • Az alkalmazás viselkedése legyen átlátható. Az alkalmazás nem távolíthat el vagy cserélhet le más alkalmazásokat vagy ezek parancsikonjait, hacsak nem kifejezetten ez az alkalmazás kinyilvánított célja. Az eltávolításnak tisztának és teljes körűnek kell lennie. Az alkalmazás nem utánozhatja az eszköz operációs rendszere vagy más alkalmazások által megjelenített párbeszédablakokat.

A probléma kijavítása

Győződjön meg arról, hogy webhelye vagy alkalmazása megfelel a fenti irányelveknek, majd hajtsa végre az alábbi lépéseket.

Rosszindulatú programról vagy nemkívánatos szoftverről szóló figyelmeztetés

Bosszantó, amikor egyik letölthető fájljáról kiderül, hogy rosszindulatú vagy egyéb nemkívánatos szoftvert tartalmaz, ezért segíteni szeretnénk a probléma megoldásában. Nem áll módunkban részletes utasításokat kínálni minden helyzet megoldására, ám a következő javaslatokat követve gyorsan behatárolhatja a problémát. A szoftverével kapcsolatos konkrét információkról tájékozódjon a webmesterek súgófórumában.

Ha mobilalkalmazása figyelmeztetést jelenít meg, olvassa el az alkalmazás-ellenőrzéssel és a fellebbezéssel kapcsolatos tudnivalókat.

Miután meggyőződött arról, hogy letölthető programja megfelel a következő irányelveknek, kérheti az állapot felülvizsgálatát. A felülvizsgálat 2-3 napot vesz igénybe. Az alábbiakban a szoftverekkel kapcsolatos megfelelő eljárások általános irányelvei láthatók, a konkrét példákat pedig megtekintheti A nemkívánatos szoftverekkel kapcsolatos irányelvek gyakran előforduló megsértései című részben.

  • Kezdje egy vírusirtó szoftverrel. Vírusirtójával ellenőrizze a bináris fájlokat és a webhelyén tárolt egyéb tartalmakat. A vírusirtó szoftverek számos típusú rosszindulatú vagy más nemkívánatos szoftvert képesek megtalálni, ám sajnos nem az összeset. Ha elküldi szoftverét egy vírusirtó programnak (vagy a vírusirtók egy összesítő szolgáltatásának, amilyen például a VirusTotal), azzal megfelelő visszajelzést kaphat a szoftverével kapcsolatos potenciális problémákról. A Google Biztonságos Böngészés szolgáltatás a saját feltételei alapján határozza meg, hogy egy program vagy bináris fájl nemkívánatos szoftvernek vagy rosszindulatú programnak minősül-e.
  • Pontosan és egyértelműen magyarázza el a felhasználónak, hogy milyen böngésző- és rendszerbeállításokat hajt végre a szoftver. Tegye lehetővé a felhasználók számára az összes fontos telepítési lehetőség és módosítás áttekintését és jóváhagyását. Programja fő felhasználói felületének egyértelműen fel kell tüntetnie a bináris fájl összetevőit és azok elsődleges funkcióját. A bináris fájlnak egyszerű módszert kell biztosítania a felhasználó számára a csomagban lévő összetevők telepítésének kihagyására. Az ilyen lehetőségek elrejtése vagy kiszürkített szöveggel írása nem egyértelmű jelzés.
  • Védje a felhasználók adatait. Ha programja vagy mobilalkalmazása felhasználói adatokat gyűjt és továbbít, ezt csak a saját kinyilvánított céljához kapcsolódóan teheti meg, és az adatgyűjtés és -továbbítás tényéről egyértelműen tájékoztatnia kell a felhasználót. A felhasználói adatokat titkosítani kell a továbbítás során.
  • Ha a bináris fájl böngészőbővítményt telepít, vagy módosítja a böngésző alapértelmezett beállításait, akkor követnie kell a böngésző által támogatott telepítési folyamatot és API-t. Ha például a bináris fájl Chrome-bővítményt telepít, akkor azt a Chrome Internetes áruházban kell tárolni, illetve a fájlnak be kell tartania a Chrome fejlesztői programszabályzatát. Bináris fájlját rendszerünk rosszindulatú programként azonosítja, ha az Chrome-bővítményt telepít, mivel sérti a Chrome alternatív bővítmények terjesztési lehetőségeire vonatkozó irányelvet.
  • Ne veszélyeztessen semmit. Bináris fájljának tiszteletben kell tartania, nem pedig veszélyeztetnie a felhasználó böngészési élményét. Győződjön meg róla, hogy letölthető bináris fájljai követik a következő általános irányelveket:
    • Ne hatástalanítsa a böngésző visszaállítási funkcióját. Olvasson a Chrome-ban lévő böngészőbeállítások visszaállítása gombról.
    • Ne kerülje meg vagy tüntesse el a böngésző vagy operációs rendszer felhasználói felületén található vezérlőelemeket a beállítások megváltoztatása céljából. Programjának megfelelően tájékoztatnia kell a felhasználókat, illetve megfelelő vezérlést kell biztosítania számukra a böngészőben előálló változásokkal kapcsolatban. Használja a Beállítások API-t a Chrome-beállítások módosításához (lásd ezt a Chromium blogbejegyzést).
    • Használjon bővítményt a böngésző funkcióinak megváltoztatásához ahelyett, hogy más, programozott módon változtatná meg a böngésző működését. Programja ne használjon például DLL-eket (dinamikusan linkelt könyvtárakat) arra, hogy a böngészőben hirdetéseket helyezzen el, ne telepítsen proxykat, amelyek elfogják a forgalmat, ne használjon rétegelt szolgáltatót (LSP-t) a felhasználó műveleteinek elfogására, illetve ne helyezzen el új elemeket minden weboldal felhasználói felületén a Chrome bináris fájljának módosításával.
    • A termék és az összetevők leírása nem rémisztheti meg a felhasználót, illetve nem közölhet hamis vagy félrevezető állításokat. Terméke például nem állíthatja hamisan azt, hogy a rendszer biztonsági állapota kritikus, vagy hogy a rendszer vírusokkal fertőzött. A rendszerleíró adatbázist megtisztító programok nem jeleníthetnek meg riasztásokat a felhasználó számítógépének vagy eszközének állapotáról, és nem állíthatják azt, hogy képesek a felhasználó számítógépének optimalizálására.
    • Tegye elérhetővé és egyszerűvé az eltávolítási lehetőséget, amely nem jeleníthet meg fenyegetéseket a felhasználónak. A program tartalmazzon egyértelmű utasításokat arra vonatkozóan, hogy hogyan lehet visszaállítani a korábbi böngésző- és rendszer-beállításokat. Az eltávolítást végrehajtó program törölje az összes összetevőt, és ne rettentse el a felhasználót az eltávolítási folyamat folytatásától például azáltal, hogy kijelenti: ha a felhasználó eltávolítja a szoftvert, annak káros hatásai lehetnek a felhasználó rendszerére, illetve adatai biztonságára nézve.
  • Biztosítson jó társaságot szoftvereinek. Ha szoftverét más szoftverösszetevőket is tartalmazó csomagban kínálja, Ön felel annak biztosításáért, hogy mindegyik összetevő betartja a fenti ajánlások mindegyikét.
Szokatlan letöltésről tájékoztató figyelmeztetés

Ha a Google Biztonságos Böngészés még nem találkozott egy adott bináris kóddal korábban, akkor a Chrome figyelmeztetheti arra, hogy a letöltés szokatlan módon történt, és hogy veszélyes lehet. Ebben az esetben a figyelmeztetések automatikusan eltűnnek, miután a Google Biztonságos Böngészés igazolta, hogy a letöltés nem rosszindulatú.

Ha webhelye szokatlan letöltéssel kapcsolatos figyelmeztetést jelenít meg, akkor felülvizsgálatot kérhet a Search Console-ban.

Hasznos volt ez a cikk?
Hogyan fejleszthetnénk?