Malware e software indesiderati

Google controlla i siti web per vedere se ospitano software o file eseguibili scaricabili che influiscono negativamente sull'esperienza utente. Nel rapporto Problemi di sicurezza puoi consultare un elenco dei file potenzialmente sospetti ospitati sul tuo sito.

APRI IL RAPPORTO PROBLEMI DI SICUREZZA

Panoramica

I malware e i software indesiderati sono file binari scaricabili o applicazioni eseguiti su un sito web che interessano i visitatori del sito.

Cos'è un malware?

Il malware è un software o un'applicazione per dispositivi mobili pensati appositamente per danneggiare un computer, il software in esecuzione o gli utenti. I comportamenti dannosi del malware includono l'installazione di software senza il consenso dell'utente e l'installazione di software dannoso, come i virus. I webmaster a volte non si rendono conto che i loro file scaricabili vengono considerati malware, quindi questi file binari potrebbero essere ospitati inavvertitamente.

Che cos'è il software indesiderato?

Il software indesiderato è un file eseguibile o un'applicazione per dispositivi mobili che attua comportamenti ingannevoli e imprevisti o che influisce negativamente sulla navigazione e sull'utilizzo del computer da parte dell'utente. Alcuni esempi includono software che sostituiscono la tua home page o le impostazioni del browser con altre impostazioni non desiderate o app che rendono pubbliche informazioni personali e private senza un'opportuna informativa.

 

Nel rapporto Problemi di sicurezza, il termine "Malware" si riferisce al malware basato sul Web che opera senza un'azione esplicita dell'utente. "Download dannosi" si riferisce a un malware o download di software indesiderati che devono essere scaricati esplicitamente dall'utente.

Linee guida

Assicurati di non violare le Norme relative al software indesiderato e seguire le linee guida qui fornite. Anche se l'elenco non è completo, questi comportamenti possono causare la visualizzazione di avvisi nelle app scaricate e nei siti web visitati. Nel rapporto Problemi di sicurezza puoi consultare un elenco dei file potenzialmente sospetti ospitati sul tuo sito.

Non rilasciare dichiarazioni errate

  • Comunica con precisione agli utenti la finalità e l'intento di un programma software. Gli utenti dovrebbero scaricare il software volontariamente e sapere esattamente che cosa verrà scaricato. A tale scopo, dovrebbero poter fare clic su un annuncio preciso che comunica gli elementi che verranno scaricati. Gli annunci che rimandano l'utente al download non devono essere ingannevoli o imprecisi, ad esempio: 
    • Gli annunci che affermano di aggiornare Flash quando il programma scaricato non è correlato a Flash.
    • Un annuncio contenente soltanto le parole "Scarica" o "Play" senza identificare il software pubblicizzato.
    • Un pulsante "Play" che rimanda a un download.
    • Un annuncio con lo stesso aspetto del sito web del publisher che finge di offrire contenuti (ad esempio un film), ma rimanda invece a software non correlato.
    • Leggi informazioni sull'ingegneria sociale nel nostro blog sulla sicurezza online.
  • Il comportamento dei programmi dovrebbe corrispondere a quello pubblicizzato. La funzionalità e gli scopi del programma devono essere chiari. Se il tuo programma raccoglie dati utente o inserisce annunci nel browser di un utente, spiega tali comportamenti con un linguaggio chiaro e dai a questa funzionalità il giusto peso.
  • Spiega in modo chiaro e dettagliato all'utente quali modifiche verranno apportate al browser e al sistema dal tuo software. Consenti agli utenti di esaminare e approvare tutte le modifiche e le opzioni di installazione più importanti. L'interfaccia utente principale del tuo programma dovrebbe mostrare chiaramente i componenti del file binario e le relative funzionalità primarie. Il file binario dovrebbe offrire all'utente un modo semplice per ignorare l'installazione dei componenti integrati. Ad esempio, nascondere queste opzioni o utilizzare un testo non selezionabile non è una buona idea.
  • Utilizza consigli solo se autorizzato. Non utilizzare i loghi di altre aziende senza autorizzazione per legittimare o promuovere un prodotto. Non utilizzare loghi di enti statali senza autorizzazione. 
  • Non spaventare l'utente. Un programma software non deve fornire all'utente false comunicazioni in merito allo stato del suo computer, ad esempio sostenendo che il sistema non è protetto o è infettato da virus. Non deve inoltre dichiarare di fornire un servizio (ad esempio di "velocizzare il tuo PC") che invece non fornisce o non è in grado di fornire. Ad esempio, è vietato pubblicizzare strumenti per la pulizia e l'ottimizzazione dei computer come "gratuiti" se i servizi e i componenti pubblicizzati richiedono un pagamento.

Linee guida per il software

  • Utilizza l'API di Impostazioni Google se il tuo programma cambia le impostazioni di Chrome. Eventuali modifiche alla pagina Nuova scheda, alla pagina iniziale o alle impostazioni di ricerca predefinite devono essere apportate utilizzando l'API Chrome Settings Override, che richiede l'utilizzo di un'estensione di Chrome e di un flusso di installazione delle estensioni conforme.
  • Consenti la visualizzazione di avvisi per gli utenti nelle finestre di dialogo del browser e del sistema operativo, come previsto. Non eliminare gli avvisi per gli utenti dal browser o dal sistema operativo, in particolare quelli che informano gli utenti di modifiche al browser o al sistema operativo. 
  • Ti consigliamo di firmare il tuo codice. L'assenza della firma in un programma binario non è motivo di segnalazione del programma come software indesiderato, ma è consigliabile che i programmi abbiano una firma di codice valida e verificata, fornita da un'autorità di firma del codice, che presenti informazioni sul publisher verificabili.
  • Non ridurre le misure di sicurezza e protezione delle connessioni TLS/SSL. Un'applicazione non può installare un certificato radice dell'autorità di certificazione e non può intercettare le connessioni SSL/TLS, a meno che siano ideate per il debug o il controllo di software da parte di esperti. Per ulteriori informazioni, leggi il post correlato del blog sulla sicurezza di Google.
  • Proteggi i dati utente. I software, comprese le app per dispositivi mobili, devono trasmettere ai server solo dati utente privati esclusivamente in relazione alla funzionalità dell'app e queste trasmissioni devono essere comunicate all'utente e opportunamente crittografate.
  • Non causare danni. Il tuo file binario deve rispettare, e non danneggiare, l'esperienza di navigazione dell'utente. Assicurati che i file binari scaricabili rispettino le seguenti norme comuni:
    • Non interrompere la funzionalità di ripristino del browser. Leggi informazioni sul pulsante Reimposta impostazioni browser in Chrome.
    • Non aggirare e non eliminare il controllo dell'interfaccia utente del browser o del sistema operativo per le modifiche alle impostazioni. Il tuo programma dovrebbe fornire agli utenti adeguate comunicazioni e la possibilità di gestire le modifiche alle impostazioni che si verificano nel browser. Utilizza l'API delle impostazioni  per modificare le impostazioni di Chrome (consulta questo post del blog Chromium).
    • Utilizza un'estensione per modificare la funzionalità di Google Chrome, anziché far cambiare il comportamento del browser tramite altri mezzi programmatici. Ad esempio, il tuo programma non deve utilizzare librerie DLL (Dynamically Linked Libraries) per inserire annunci nel browser, non deve utilizzare proxy che intercettano il traffico e LSP (Layered Service Provider) per intercettare le azioni degli utenti, né inserire una nuova interfaccia utente in ogni pagina web applicando patch nel file binario di Chrome.
    • Le descrizioni del prodotto e dei componenti non devono intimorire gli utenti e/o contenere dichiarazioni false e fuorvianti. Ad esempio, il tuo prodotto non deve indicare false dichiarazioni in merito allo stato del sistema, ad esempio sostenendo che il sistema non è protetto o è infettato da virus. I programmi che, ad esempio, ripuliscono il Registro di sistema non devono mostrare messaggi allarmanti sullo stato del computer o del dispositivo di un utente e affermare che sono in grado di ottimizzare il dispositivo.
    • Rendi il processo di disinstallazione rintracciabile, semplice e sicuro. Il tuo programma deve avere istruzioni chiare per il ripristino delle impostazioni precedenti del browser e/o del sistema. Il programma di disinstallazione deve rimuovere tutti i componenti e non dissuadere l'utente dal continuare il processo di disinstallazione, ad esempio dichiarando potenziali ripercussioni negative sulla privacy o sul sistema dell'utente qualora il software venisse disinstallato.
  • Assicurare la conformità dei componenti. Se il software ha altri componenti software integrati, sei responsabile di garantire la conformità di ogni componente ai consigli precedenti.

Linee guida per le estensioni di Chrome

  • Tutte le estensioni devono essere fornite e installate in Chrome per essere conformi alle norme. Le estensioni devono essere ospitate nel Chrome Web Store, essere disattivate per impostazione predefinita ed essere conformi alle norme (inclusa la norma relativa alla finalità singola). Per le estensioni installate da un programma è necessario utilizzare il flusso autorizzazione di installazione delle estensioni di Chrome, che richiede all'utente di attivare le estensioni in Chrome. Le estensioni non possono rimuovere le finestre di dialogo di Chrome che avvisano gli utenti di modifiche alle impostazioni.
    Popup di Chrome che richiede l
  • Spiega agli utenti come rimuovere un'estensione di Chrome. Garantisci agli utenti un'esperienza positiva: quando disinstallano un programma, fai in modo che vengano rimossi anche tutti gli elementi installati insieme al programma. Il flusso di disinstallazione deve includere istruzioni che spieghino agli utenti come disattivare ed eliminare autonomamente le estensioni.
  • Se il file binario installa un componente aggiuntivo del browser o modifica le impostazioni predefinite di quest'ultimo, deve rispettare l'API e il flusso di installazione supportato dal browser. Ad esempio, se il file binario installa un'estensione di Chrome, l'estensione deve essere ospitata sul Chrome Web Store e rispettare le  Norme del programma per gli sviluppatori di Chrome. Il file binario viene identificato come malware se installa un'estensione di Chrome che vìola le norme relative alle opzioni di distribuzione di un'estensione alternativa di Chrome.

Linee guida relative alle app per dispositivi mobili

  • Informa gli utenti di avere intenzione di raccogliere i loro dati.  Fornisci agli utenti l'opportunità di accettare la raccolta dei loro dati prima di iniziare a raccoglierli, inclusi i dati relativi ad account di terze parti, indirizzo email, numero di telefono, app installate e file sul dispositivo mobile. I dati utente personali o sensibili raccolti devono essere gestiti secondo un regime di sicurezza che includa, tra l'altro, la trasmissione usando moderni protocolli di crittografia (ad esempio, tramite HTTPS). Per le app non Google Play, devi informare l'utente della raccolta di dati che esegui all'interno dell'app. Per le app Google Play, tale comunicazione devono rispettare la norma di Google Play. Non raccogliere dati che esulano l'uso dichiarato della tua applicazione.

  • Non impersonare un altro brand o un'altra app. Non utilizzare in modo improprio o non autorizzato immagini o design simili ad altri brand o app in un modo che possa confondere l'utente.

  • Mantieni tutti i contenuti nel contesto dell'app. Le app non possono interferire tra loro né visualizzare all'utente annunci o altri contenuti esterni al contesto o alla funzione dell'app in sé.

  • L'app deve rispettare le promesse fatte all'utente. Tutte le funzionalità pubblicizzate devono essere a disposizione dell'utente nell'app. Le app possono aggiornare i propri contenuti ma non devono scaricare altre app, senza previo consenso informato dell'utente.

  • Mantieni un comportamento trasparente. Le app non devono installare né sostituire altre app o relative scorciatoie, a meno che tale sia lo scopo dichiarato dell'app. La disinstallazione deve essere chiara e completa. Le app non devono imitare le richieste del sistema operativo del dispositivo o di altre app.

Risolvere il problema

Assicurati che il tuo sito o la tua applicazione rispettino le linee guida di cui sopra, quindi richiedi una verifica nel rapporto Problemi di sicurezza.

Se la tua applicazione per dispositivi mobili mostra avvisi, consulta questo articolo per informazioni sulla verifica e il ricorso delle app.

 

È stato utile?
Come possiamo migliorare l'articolo?