Rosszindulatú programok és nem kívánt szoftverek

A Google ellenőrzi, hogy a webhelyek tárolnak-e olyan letölthető futtatható fájlokat, amelyek kedvezőtlenül befolyásolják a felhasználói élményt. A webhelyén tárolt gyanús fájlok listáját a Biztonsági problémák jelentésben találja.

A BIZTONSÁGI PROBLÉMÁK JELENTÉS MEGNYITÁSA

Áttekintés

A rosszindulatú programok és a nem kívánt szoftverek letölthető bináris programok vagy olyan alkalmazások, amelyek webhelyen futnak, és hatást gyakorolnak a webhely látogatóira.

Mi a rosszindulatú program?

Rosszindulatú programnak nevezünk minden olyan szoftvert vagy mobilalkalmazást, amelyet kifejezetten abból a célból készítettek, hogy kárt okozzon a számítógépnek, a mobileszköznek, az ezeken futó szoftvernek vagy a felhasználónak. A rosszindulatú programok kártékony módon viselkednek, például szoftvereket telepítenek a felhasználó beleegyezése nélkül, valamint ártalmas szoftvereket (például vírusokat) telepítenek. A webmesterek néha nincsenek tisztában vele, hogy letölthető fájljaikat a rendszer rosszindulatú programként kezeli, ezért ezeket a bináris fájlokat néha vétlenül tárolják.

Mi az a nemkívánatos szoftver?

A nemkívánatos szoftver olyan futtatható fájl vagy mobilalkalmazás, amely megtévesztő vagy váratlan módon viselkedik, illetve amelynek viselkedése negatív hatással van a felhasználó böngészési vagy számítógép-használati élményére. Ilyen nemkívánatos viselkedés például, ha az Ön akarata ellenére megváltoztatja a kezdőlapot vagy más böngészőbeállításokat, illetve ha megfelelő tájékoztatás nélkül kiadja az Ön privát, személyes adatait.

  • Ha további információra kíváncsi azzal kapcsolatban, hogy a Google hogyan óvja a felhasználókat a nem kívánt szoftverektől, olvassa el a Nem ez a letöltés, amit keres… bejegyzést a Google Security Blogon.

 

A Biztonsági problémák jelentésben a „Rosszindulatú szoftverek” olyan webalapú rosszindulatú programokra utalnak, amelyek kifejezett felhasználói művelet nélkül működnek. A „Rosszindulatú letöltések” azokra a rosszindulatú programokra vagy nem kívánt szoftverletöltésekre utalnak, amelyeket kifejezetten a felhasználó tölt le.

Irányelvek

Győződjön meg róla, hogy nem sérti meg a nemkívánatos szoftverekre vonatkozó irányelveket, és tartsa be az alábbi alapelveket. A lista ugyan nem teljes, azonban a felsoroltakhoz hasonló viselkedés esetén az alkalmazások és webhelyek figyelmeztetéseket jeleníthetnek meg a felhasználóknak letöltés vagy megnyitás esetén. A webhelyén tárolt gyanús fájlok listáját a Biztonsági problémák jelentésben találja.

Ne adjon meg magáról megtévesztő információkat

  • Pontosan tájékoztassa a felhasználókat a szoftver céljáról és szándékáról. A felhasználóknak saját szándékuk szerint kell letölteniük a szoftvert úgy, hogy pontosan tudnak arról, hogy mit fognak letölteni, hiszen egy pontos hirdetésre kattintanak, amelyből tájékoztatást kapnak a letöltésről. A felhasználót a letöltéshez irányító hirdetések nem lehetnek megtévesztők vagy pontatlanok, mint például az alábbiak esetén: 
    • Olyan hirdetés, amely Flash-frissítést ígér, azonban a letöltött programnak nincs köze a Flash-hez.
    • Olyan hirdetés, amely csak a „Letöltés” vagy a „Lejátszás” szót tartalmazza a meghirdetett szoftver azonosítása nélkül.
    • „Lejátszás” gomb, amely egy letöltéshez vezet.
    • Olyan hirdetés, amely a megjelenítő webhelyének megjelenését utánozza, és úgy tesz, mintha tartalmat (például egy filmet) kínálna, de ehelyett a témához nem kapcsolódó szoftvert telepít.
    • Tájékozódjon bővebben a bizalomra épülő manipulatív befolyásolásról az online biztonságról szóló blogunkban.
  • A viselkedés feleljen meg a hirdetésben szereplő információknak. Programjának egyértelmű tájékoztatást kell közölnie a funkcióiról és szándékairól. Ha a program felhasználói adatokat gyűjt, vagy hirdetéseket épít be a felhasználó böngészőjébe, egyértelműen hívja fel erre a figyelmet, és ne úgy tüntesse fel, mintha lényegtelen jellemzőkről lenne szó.
  • Pontosan és egyértelműen magyarázza el a felhasználónak, hogy milyen böngésző- és rendszerbeállításokat hajt végre a szoftver. Tegye lehetővé a felhasználók számára az összes fontos telepítési lehetőség és módosítás áttekintését és jóváhagyását. Programja fő felhasználói felületének egyértelműen fel kell tüntetnie a bináris fájl összetevőit és azok elsődleges funkcióját. A bináris fájlnak egyszerű módszert kell biztosítania a felhasználó számára a csomagban lévő összetevők telepítésének kihagyására. Az ilyen lehetőségek elrejtése vagy kiszürkített szöveggel írása nem egyértelmű jelzés.
  • Partneri kapcsolatot csak akkor tüntessen fel, ha erre engedélye van. Ne használja más vállalatok emblémáit engedély nélkül valamilyen termék legitimizálására vagy promóciójához. Állami szervek emblémái csak engedéllyel használhatók. 
  • Ne ijessze meg a felhasználót. A szoftver nem közölheti valótlanul a készülék állapotát a felhasználóval, például nem állíthatja hamisan azt, hogy a rendszer biztonsági állapota kritikus, vagy hogy a rendszer vírusokkal fertőzött. A szoftver nem állíthatja, hogy olyan szolgáltatást kínál (például „a számítógép felgyorsítása”), amelyet nem nyújt, illetve nem képes nyújtani. Például az „ingyenes” számítógép-tisztítók és -optimalizálók csak akkor hirdethetők ingyenesként, ha a meghirdetett szolgáltatásokért és összetevőkért valóban nem kell fizetni.

Szoftverekre vonatkozó irányelvek

  • Használja a Google-beállítások API-t, ha a program módosítja a Chrome beállításait. A felhasználó alapértelmezett keresési beállításait, kezdőlapját, illetve új lap oldalát érintő minden módosítást a Chrome Settings Override API használatával kell végrehajtani – az API használatához egy Chrome-bővítmény, továbbá az előírásoknak megfelelő bővítménytelepítési folyamat szükséges.
  • Engedélyezze, hogy a böngésző és az operációs rendszer párbeszédpanelei normál módon figyelmeztethessék a felhasználót. Ne rejtse el a böngésző vagy operációs rendszer felhasználó számára megjelenített riasztásait, különös tekintettel azokra, amelyek a böngésző vagy az operációs rendszer megváltoztatásáról tájékoztatják a felhasználót. 
  • Javasoljuk, hogy írja alá a kódot. Ugyan az aláíratlan bináris kód még nem ok arra, hogy kódja nemkívánatos szoftverként legyen megjelölve, mégis azt javasoljuk, hogy a programok rendelkezzenek érvényes és ellenőrzött kódaláírással, amely ellenőrizhető közzétevői adatokat közlő kódaláíró szervezettől származik.
  • Ne csökkentse a TLS-/SSL-kapcsolatok által biztosított biztonsági és védelmi intézkedések szintjét. Az alkalmazások nem telepíthetik a legfelső szintű hitelesítésszolgáltató tanúsítványát. Továbbá nem akadályozhatják az SSL-/TLS-kapcsolatokat – kivéve abban az esetben, ha az alkalmazás célja, hogy szakemberek szoftvereket javítsanak meg vagy vizsgáljanak ki. További részletekért lásd a Google Security Blogon található blogbejegyzést.
  • Védje a felhasználók adatait. A szoftverek és a mobilalkalmazások csak olyan privát felhasználói adatokat küldhetnek el a szervereknek – megfelelően titkosítva –, amelyek az alkalmazás működéséhez szükségesek, és erről tájékoztatniuk kell a felhasználókat.
  • Ne veszélyeztessen semmit. Bináris fájljának tiszteletben kell tartania, nem pedig veszélyeztetnie a felhasználó böngészési élményét. Győződjön meg róla, hogy letölthető bináris fájljai követik a következő általános irányelveket:
    • Ne hatástalanítsa a böngésző visszaállítási funkcióját. Olvasson a Chrome-ban lévő böngészőbeállítások visszaállítása gombról.
    • Ne kerülje meg vagy tüntesse el a böngésző vagy operációs rendszer felhasználói felületén található vezérlőelemeket a beállítások megváltoztatása céljából. Programjának megfelelően tájékoztatnia kell a felhasználókat, illetve megfelelő vezérlést kell biztosítania számukra a böngészőben előálló változásokkal kapcsolatban. Használja a Settings API-t a Chrome-beállítások módosításához (lásd ezt a Chromium Blog-bejegyzést).
    • Használjon bővítményt a böngésző funkcióinak megváltoztatásához ahelyett, hogy más, programozott módon változtatná meg a böngésző működését. Programja ne használjon például DLL-eket (dinamikusan linkelt könyvtárakat) arra, hogy a böngészőben hirdetéseket helyezzen el, ne telepítsen proxykat, amelyek elfogják a forgalmat, ne használjon rétegelt szolgáltatót (LSP-t) a felhasználó műveleteinek elfogására, illetve ne helyezzen el új elemeket minden weboldal felhasználói felületén a Chrome bináris fájljának módosításával.
    • A termék és az összetevők leírása nem rémisztheti meg a felhasználót, illetve nem közölhet hamis vagy félrevezető állításokat. Terméke például nem állíthatja hamisan azt, hogy a rendszer biztonsági állapota kritikus, vagy hogy a rendszer vírusokkal fertőzött. A rendszerleíró adatbázist megtisztító programok nem jeleníthetnek meg riasztásokat a felhasználó számítógépének vagy eszközének állapotáról, és nem állíthatják azt, hogy képesek a felhasználó számítógépének optimalizálására.
    • Tegye elérhetővé és egyszerűvé az eltávolítási lehetőséget, amely nem jeleníthet meg fenyegetéseket a felhasználónak. A program tartalmazzon egyértelmű utasításokat arra vonatkozóan, hogy hogyan lehet visszaállítani a korábbi böngésző- és rendszer-beállításokat. Az eltávolítást végrehajtó program törölje az összes összetevőt, és ne rettentse el a felhasználót az eltávolítási folyamat folytatásától például azáltal, hogy kijelenti: ha a felhasználó eltávolítja a szoftvert, annak káros hatásai lehetnek a felhasználó rendszerére, illetve adatai biztonságára nézve.
  • Biztosítson jó társaságot szoftvereinek. Ha szoftverét más szoftverösszetevőket is tartalmazó csomagban kínálja, Ön felel annak biztosításáért, hogy mindegyik összetevő betartja a fenti ajánlások mindegyikét.

A Chrome-bővítményekre vonatkozó irányelvek

  • Ahhoz, hogy egy bővítmény megfeleljen az irányelveknek, közzé kell tenni, és telepíteni kell a Chrome-ban. A bővítményeket a Chrome Internetes áruházban kell tárolni, alapértelmezés szerint kikapcsolt állapotban, és meg kell felelniük a Chrome Internetes áruház irányelveinek (köztük az egy, meghatározott célra vonatkozó irányelvnek is). A programokból telepített bővítményeknek követniük kell a Chrome-bővítmények engedélyezett telepítési folyamatát, amelynek keretében a felhasználót a rendszer arra kéri, hogy kapcsolja be őket a Chrome-on belül. A bővítmények nem rejthetik el a Chrome párbeszédpaneleit, amelyek felhívják a felhasználó figyelmét a beállítások változásaira.
    A Chrome-ban megjelenő előugró ablak bővítmény telepítéséhez kér jóváhagyást.
  • Tájékoztassa a felhasználókat a Chrome-bővítmény eltávolításának módjáról. Akkor biztosítható a jó felhasználói élmény, ha a program eltávolításával minden vele együtt települő dolog eltűnik. Az eltávolítási folyamatnak utasításokat kell tartalmaznia a felhasználó számára arról, hogy miként tilthatja le, illetve törölheti a bővítményt.
  • Ha a bináris program böngészőbővítményt telepít, vagy módosítja a böngésző alapértelmezett beállításait, akkor követnie kell a böngésző által támogatott telepítési folyamatot és API-t. Ha például a bináris program Chrome-bővítményt telepít, akkor azt a Chrome Internetes áruházban kell tárolni, illetve a programnak meg kell felelnie a Chrome Fejlesztői programszabályzatának. Bináris fájlját rendszerünk rosszindulatú programként azonosítja, ha az Chrome-bővítményt telepít, mivel sérti a Chrome alternatív bővítmények terjesztési lehetőségeire vonatkozó irányelvet.
Mobilalkalmazásokra vonatkozó irányelvek
  • Tájékoztassa a felhasználókat adatgyűjtési szándékáról. Még azelőtt biztosítson lehetőséget a felhasználóknak arra, hogy hozzájárulhassanak az adataik gyűjtéséhez, hogy elkezdené az adatok gyűjtését és küldését az eszközről (ez vonatkozik a harmadik feleknél fenntartott fiókokkal, az e-mailekkel, a telefonszámokkal, a telepített alkalmazásokkal és a mobileszközön tárolt fájlokkal kapcsolatos adatokra is). A személyes vagy bizalmas felhasználói adatok gyűjtését biztonságos módon kell végezni – beleértve az adatok modern titkosítási eszközökkel (például HTTPS-protokoll használatával) történő átvitelét is. A nem a Playen terjesztett alkalmazások esetében az adatok gyűjtéséről az alkalmazáson belül kell tájékoztatnia a felhasználókat. A Google Playen terjesztett alkalmazások esetében a tájékoztatásnak meg kell felelnie a Google Play irányelveinek. Ne gyűjtsön olyan adatokat, amelyek nem kapcsolódnak az alkalmazás kinyilvánított használati céljához.

  • Ne éljen vissza más márkák vagy alkalmazások adataival. Ne használjon helytelenül vagy illetéktelenül olyan képeket vagy dizájnt, amelyek más márkára vagy alkalmazásra hasonlítanak, és amelyek könnyen megzavarhatják a felhasználókat.

  • Minden tartalom maradjon az alkalmazás környezetén belül. Az alkalmazás nem zavarhatja más alkalmazások működését és az eszköz használhatóságát. Az alkalmazás kizárólag a felhasználó tájékoztatáson alapuló beleegyezésével és a hirdetések egyértelmű forrásmegjelölése mellett jeleníthet meg hirdetéseket vagy további tartalmakat a felhasználónak az alkalmazás környezetén kívül vagy a funkciójához nem kapcsolódó módon.

  • Az alkalmazásnak be kell tartania a felhasználóknak tett ígéreteket. Az összes meghirdetett funkciónak rendelkezésre kell állnia a felhasználó számára az alkalmazásban. Az alkalmazás letölthet saját tartalmat, de nem tölthet le más alkalmazásokat anélkül, hogy erről tájékoztatná a felhasználót, és a beleegyezését kérné.

  • Az alkalmazás viselkedése legyen átlátható. Az alkalmazás nem távolíthat el vagy cserélhet le más alkalmazásokat vagy ezek parancsikonjait, hacsak nem kifejezetten ez az alkalmazás kinyilvánított célja. Az eltávolításnak tisztának és teljes körűnek kell lennie. Az alkalmazás nem utánozhatja az eszköz operációs rendszere vagy más alkalmazások által megjelenített értesítéseket.

A Google Playen keresztül terjesztett alkalmazásoknak meg kell felelniük a Fejlesztői programszabályzatnak és a Fejlesztői terjesztési megállapodásnak, amelyek további követelményeket tartalmaznak.

A probléma kijavítása

Győződjön meg arról, hogy webhelye vagy alkalmazása megfelel a fenti irányelveknek, majd kérjen felülvizsgálatot a Biztonsági problémák jelentésben.

Ha mobilalkalmazása figyelmeztetést jelenít meg, olvassa el az alkalmazás-ellenőrzéssel és a fellebbezéssel kapcsolatos tudnivalókat.

 

Hasznosnak találta?
Hogyan fejleszthetnénk?