Malware en ongewenste software

Google controleert of websites software of downloadbare uitvoerbare bestanden hosten die de gebruikerservaring negatief beïnvloeden. In het rapport Beveiligingsproblemen vind je een lijst met verdachte bestanden op je site.

HET RAPPORT BEVEILIGINGSPROBLEMEN OPENEN

Overzicht

Malware en ongewenste software zijn downloadbare binaire bestanden of apps die op een website worden uitgevoerd en van invloed zijn op bezoekers van de site.

Wat is malware?

Malware is elke software of mobiele app die speciaal bedoeld is om een computer, de software op een computer of de gebruikers van een computer te schaden. Malware vertoont schadelijk gedrag, zoals het installeren van software zonder toestemming van de gebruiker en het installeren van schadelijke software zoals virussen. Webmasters realiseren zich soms niet dat hun downloadbare bestanden als malware worden beschouwd, dus sommige van deze binaire bestanden kunnen onopzettelijk worden gehost.

Wat is ongewenste software?

Ongewenste software is een uitvoerbaar bestand of mobiele app die gedrag vertoont dat misleidend of onverwacht is of een negatieve invloed heeft op de browser- of computerervaring van de gebruiker. Hierbij gaat het bijvoorbeeld om software die zonder je toestemming je homepage of andere browserinstellingen wijzigt of apps die persoonlijke gegevens lekken zonder dat je hiervan op de hoogte wordt gesteld.

 

In het rapport Beveiligingsproblemen verwijst 'malware' naar webgebaseerde malware die werkt zonder expliciete actie van de gebruiker. 'Schadelijke downloads' verwijst naar malware of ongewenste softwaredownloads die expliciet moeten worden gedownload door de gebruiker.

Richtlijnen

Zorg ervoor dat je het beleid ten aanzien van ongewenste software niet schendt en dat je de richtlijnen volgt die hier worden vermeld. Hoewel deze lijst niet volledig is, kan dergelijk gedrag tot gevolg hebben dat gebruikers waarschuwingen te zien krijgen wanneer ze apps downloaden en websites bezoeken. In het rapport Beveiligingsproblemen vind je een lijst met verdachte bestanden op je site.

Geef geen verkeerde voorstelling van jezelf

  • Stel gebruikers correct op de hoogte van het doel van je software. Gebruikers moeten de software doelbewust downloaden, op basis van duidelijke informatie over wat er wordt gedownload, door op een betrouwbare advertentie te klikken die de gebruiker duidelijk laat weten wat er wordt gedownload. Advertenties die de gebruiker naar de download brengen, mogen niet misleidend of onjuist zijn, zoals: 
    • advertenties die claimen Flash te updaten terwijl het programma dat wordt gedownload, niet aan Flash is gerelateerd,
    • een advertentie die alleen de woorden Downloaden of Afspelen bevat zonder expliciet te maken welke software wordt gepromoot,
    • een knop Afspelen die leidt naar een download,
    • een advertentie die het uiterlijk van de website van een uitgever nabootst en ten onrechte beweert content (zoals een film) te leveren maar in plaats daarvan leidt naar niet-gerelateerde software.
    • Lees meer informatie over social engineering op onze blog over Online Security.
  • Het gedrag moet zijn zoals aangekondigd. Je programma moet duidelijk zijn over de bijbehorende functionaliteit en intenties. Als je programma gebruikersgegevens verzamelt of advertenties in de browser invoegt, moet je dergelijk gedrag duidelijk aangeven en niet doen alsof dit onbelangrijk is.
  • Laat de gebruiker expliciet en duidelijk weten welke browser- en systeemwijzigingen worden aangebracht door je software. Geef gebruikers de mogelijkheid alle belangrijke installatieopties en wijzigingen te bekijken en goed te keuren. In de UI van je programma moet duidelijk kenbaar worden gemaakt wat de componenten van het binaire bestand zijn en wat hun primaire functionaliteit is. Het binaire bestand moet gebruikers een eenvoudige mogelijkheid bieden om de installatie van gebundelde componenten over te slaan. Het verbergen van deze opties of het gebruik van grijs weergegeven tekst wordt bijvoorbeeld niet beschouwd als duidelijk kenbaar maken.
  • Gebruik testimonials alleen als dit is toegestaan. Je mag de logo's van andere bedrijven niet zonder toestemming gebruiken om een product een legitieme status te geven of aan te bevelen. Gebruik ook overheidslogo's niet zonder toestemming. 
  • Schrik de gebruiker niet af. Software mag geen verkeerde voorstelling geven van de status van het systeem van de gebruiker, bijvoorbeeld door de claimen dat het systeem niet goed beveiligd is of met virussen is besmet. Software mag niet claimen een service te leveren ('je pc sneller maken') die niet wordt of kan worden geleverd. 'Gratis' programma's voor het opschonen en optimaliseren van computers mogen niet als zodanig worden gepromoot, tenzij er voor de gepromote services en componenten geen betaling vereist is.

Richtlijnen voor software

  • Gebruik de Google Settings API als je programma de instellingen van Chrome wijzigt. Wijzigingen in de standaardwaarden voor zoekinstellingen, de opstartpagina of nieuwe tabbladen van de gebruiker moeten worden aangebracht via de Chrome Settings Override API. Deze API vereist het gebruik van een Chrome-extensie, evenals een compatibele installatieprocedure voor de extensie.
  • Sta toe dat dialoogvensters van de browser en het besturingssysteem de gebruiker zoals bedoeld waarschuwen. Je mag meldingen van de browser of het besturingssysteem aan de gebruiker niet blokkeren, met name meldingen die informeren over wijzigingen in de browser of het besturingssysteem. 
  • We raden je aan je code te ondertekenen. Hoewel het feit dat een binair bestand niet ondertekend is, geen reden is om het te markeren als ongewenste software, raden we aan ervoor te zorgen dat programma's een geldige en geverifieerde codehandtekening hebben die is uitgegeven door een instantie die verifieerbare uitgeversgegevens presenteert.
  • Je mag de beveiligings- en beschermingsmaatregelen van TLS/SSL-verbindingen niet ondermijnen. Een app mag geen rootcertificaat installeren. De app mag SSL/TLS-verbindingen niet onderscheppen, tenzij dat is bedoeld om experts fouten te laten opsporen of de software te laten onderzoeken. Bekijk de post over dit onderwerp op de Google Security Blog.
  • Bescherm gebruikersgegevens. De software, inclusief mobiele apps, mag alleen persoonlijke gebruikersgegevens doorgeven aan servers wanneer deze informatie gerelateerd is aan de functionaliteit van de app. Bovendien moet de gebruiker hierover worden geïnformeerd en moet de overdracht worden versleuteld.
  • Breng geen schade toe. Je binaire bestand moet de browsefunctionaliteit van de gebruiker respecteren en geen schade toebrengen. Zorg ervoor dat je downloadbare binaire bestanden voldoen aan de volgende algemene beleidsregels:
    • Beschadig de resetfunctionaliteit van de browser niet. Meer informatie over resetinstellingen van de browser in Chrome.
    • Omzeil of blokkeer de bedieningselementen van de browser of het besturingssysteem voor het beheren van instellingswijzigingen niet. Je programma moet gebruikers duidelijk informeren en controle geven over instellingswijzigingen die plaatsvinden in de browser. Gebruik de Settings API om de instellingen van Chrome te wijzigen (bekijk dit Chromium-blogbericht).
    • Gebruik een extensie om Google Chrome-functionaliteit te wijzigen en wijzig het gedrag van de browser niet via andere programmatische methoden. Je programma mag bijvoorbeeld geen DLL's (Dynamically Linked Libraries) gebruiken om advertenties in te voegen in de browser, mag geen proxy's gebruiken die verkeer onderscheppen, mag geen Layered Service Provider gebruiken om gebruikersacties te onderscheppen en mag geen nieuwe UI op elke webpagina invoegen door het binaire bestand van Chrome te patchen.
    • Je product- en componentbeschrijvingen moeten de gebruiker niet afschrikken en mogen geen valse of misleidende claims bevatten. Je product mag bijvoorbeeld niet ten onrechte claimen dat het systeem niet goed beveiligd is of met virussen is besmet. Programma's zoals opschoonprogramma's voor registers mogen geen alarmerende berichten weergeven over de toestand van de computer of het apparaat van een gebruiker en claimen dat ze de pc van de gebruiker kunnen optimaliseren.
    • Zorg ervoor dat het verwijderingsproces kan worden gevonden en eenvoudig en niet bedreigend is. Je programma moet zijn voorzien van duidelijke instructies om de browser en/of het systeem terug te zetten naar de vorige instellingen. Het verwijderingsprogramma moet alle componenten verwijderen en mag de gebruiker er niet van weerhouden het verwijderingsproces te voltooien, bijvoorbeeld door te claimen dat verwijdering van de software resulteert in potentieel negatieve gevolgen voor het systeem of de privacy van de gebruiker.
  • Zorg ervoor dat je je in goed gezelschap bevindt. Als je software andere softwarecomponenten bundelt, is het je verantwoordelijkheid ervoor te zorgen dat geen van deze componenten in strijd is met de bovenstaande aanbevelingen.

Richtlijnen voor Chrome-extensies

  • Alle extensies moeten openbaar worden gemaakt en worden geïnstalleerd in Chrome om aan het beleid te voldoen. Extensies moeten worden gehost in de Chrome Web Store, moeten standaard zijn uitgeschakeld en moeten voldoen aan het beleid van de Chrome Web Store (waaronder het beleid ten aanzien van één doel). Extensies die worden geïnstalleerd vanuit een programma, moeten de geautoriseerde installatieprocedure voor Chrome-extensies gebruiken, waarbij de gebruiker wordt gevraagd de extensies in te schakelen in Chrome. Extensies mogen geen dialoogvensters van Chrome blokkeren die gebruikers informeren over wijzigingen in de instellingen.
    Pop-up in Chrome waarin toestemming wordt gevraagd om een extensie te installeren.
  • Laat gebruikers weten hoe ze een Chrome-extensie kunnen verwijderen. Je garandeert een goede gebruikerservaring door ervoor te zorgen dat wanneer een gebruiker een programma verwijdert, alles wat met het programma mee is geïnstalleerd, ook wordt verwijderd. De verwijderingsprocedure moet instructies bevatten zodat de gebruiker de extensie zelf kan uitschakelen en verwijderen.
  • Als het binaire bestand een browser-add-on installeert of de standaardinstellingen van de browser wijzigt, moet het bestand de door de browser ondersteunde installatieprocedure en API volgen. Als het binaire bestand bijvoorbeeld een Chrome-extensie installeert, moet het bestand worden gehost in de Chrome Web Store en voldoen aan het programmabeleid voor ontwikkelaars van Chrome. Je binaire bestand wordt geïdentificeerd als malware als het een Chrome-extensie installeert op een manier die in strijd is met het Chrome-beleid ten aanzien van alternatieve distributieopties voor extensies.
Richtlijnen voor mobiele apps
  • Stel gebruikers op de hoogte van je intentie om hun gegevens te verzamelen. Geef gebruikers de mogelijkheid akkoord te gaan met de verzameling van hun gegevens voordat je deze gaat verzamelen en verzenden vanaf het apparaat, waaronder gegevens over accounts van derden, geïnstalleerde apps en bestanden op het mobiele apparaat. Persoonlijke of gevoelige gebruikersgegevens die worden verzameld, moeten beveiligd worden verwerkt. Ze moeten bijvoorbeeld worden overgedragen via moderne cryptografie (zoals via HTTPS). Voor niet-Google Play-apps moet je de verzameling van gegevens aan de gebruiker bekendmaken in de app. Voor Google Play-apps moet de bekendmaking voldoen aan het beleid van Google Play. Verzamel geen gegevens die niet onder het gepubliceerde gebruik van je app vallen.

  • Doe je niet voor als ander merk of andere app. Gebruik geen incorrecte of ongeautoriseerde afbeeldingen of ontwerpen die vergelijkbaar zijn met andere merken of apps op een manier die verwarrend kan zijn voor de gebruiker.

  • Zorg ervoor dat alle content binnen de context van de app blijft. Apps mogen de werking en bruikbaarheid van andere apps niet verstoren. Apps mogen geen advertenties en aanvullende content aan de gebruiker laten zien die buiten de context of functie van de app zelf vallen, zonder expliciete toestemming van de gebruiker of zonder duidelijk aan te geven wat de advertentiebron is, overal waar de advertenties worden weergegeven.

  • De app moet aan de gebruiker gedane beloften waarmaken. Alle geadverteerde functionaliteit moet in de app beschikbaar zijn voor de gebruiker. Apps mogen app-content updaten, maar mogen geen aanvullende apps downloaden zonder kennisgeving en expliciete toestemming van de gebruiker.

  • Het gedrag moet transparant zijn. Apps mogen andere apps of de bijbehorende snelkoppelingen niet verwijderen of vervangen, tenzij dat het vermelde doel van de app is. Verwijdering moet duidelijk en volledig zijn. Apps mogen prompts van het besturingssysteem van het apparaat of andere apps niet nabootsen.

Apps die via Google Play worden gedistribueerd, moeten voldoen aan het programmabeleid voor ontwikkelaars en de distributieovereenkomst voor ontwikkelaars, die aanvullende vereisten bevatten.

Het probleem oplossen

Zorg ervoor dat je site of app de bovenstaande richtlijnen volgt. Vervolgens kun je een beoordeling aanvragen via het rapport Beveiligingsproblemen.

Als er waarschuwingen voor je mobiele app worden weergegeven, vind je hier meer informatie over de verificatie van je app en de bezwaren die je kunt aantekenen.

 

Was dit nuttig?
Hoe kunnen we dit verbeteren?