Złośliwe i niechciane oprogramowanie

Google sprawdza, czy w witrynach znajduje się oprogramowanie lub wykonywalne pliki do pobrania, które mogłyby powodować, że strona działa inaczej, niż tego oczekują użytkownicy. Lista podejrzanych plików hostowanych w Twojej witrynie znajduje się w raporcie Problemy dotyczące bezpieczeństwa.

OTWÓRZ RAPORT PROBLEMY DOTYCZĄCE BEZPIECZEŃSTWA

Omówienie

Złośliwe lub niechciane oprogramowanie to możliwe do pobrania pliki binarne lub aplikacje, które mogą uruchamiać się na stronie i wpływać na jej działanie w sposób niekorzystny dla użytkowników.

Co to jest złośliwe oprogramowanie?

Termin „złośliwe oprogramowanie” odnosi się do oprogramowania lub aplikacji mobilnych zaprojektowanych specjalnie w celu zaszkodzenia użytkownikom lub uszkodzenia komputera, urządzenia mobilnego bądź zainstalowanych na nim aplikacji. Działanie złośliwego oprogramowania objawia się instalowaniem programów bez zgody użytkownika lub instalowaniem szkodliwych aplikacji, takich jak wirusy. Webmasterzy czasem nie zdają sobie sprawy, że ich pliki do pobrania zawierają szkodliwe oprogramowanie i hostują takie pliki nieświadomie.

Co to jest niechciane oprogramowanie?

Niechciane oprogramowanie to plik wykonywalny lub aplikacja mobilna, których celem są zwodnicze, niezamierzone przez użytkownika i szkodliwe działania obniżające funkcjonalność komputera i internetu. Są to na przykład programy przełączające stronę główną lub zmieniające ustawienia przeglądarki na takie, których nie chce użytkownik. Mogą to być również aplikacje podkradające informacje prywatne i niejawne dane osobowe.

 

W raporcie Problemy dotyczące bezpieczeństwa „złośliwe oprogramowanie” oznacza złośliwe oprogramowanie internetowe, które działa bez wyraźnej zgody użytkownika. „Szkodliwe pliki do pobrania” to złośliwe lub niechciane oprogramowanie, które jest świadomie pobierane przez użytkownika.

Wytyczne

Upewnij się, że nie naruszasz Zasad dotyczących niechcianego oprogramowania i postępuj zgodnie z podanymi tu wytycznymi. Lista nie jest wyczerpująca, jednak wymienione na niej nadużycia mogą powodować, że użytkownicy, którzy spróbują pobrać aplikację lub wejść na stronę, zobaczą odpowiednie ostrzeżenie. Lista podejrzanych plików hostowanych w Twojej witrynie znajduje się w raporcie Problemy dotyczące bezpieczeństwa.

Nie kryj własnych celów

  • Dokładnie informuj użytkowników o przeznaczeniu i sposobie działania oprogramowania. Użytkownicy powinni pobierać oprogramowanie świadomie (mając dokładną wiedzę, co pobierają) przez kliknięcie rzetelnej reklamy, która wyraźnie informuje użytkownika, jaki program zostanie pobrany. Reklamy umożliwiające pobieranie nie mogą wprowadzać w błąd ani podawać niedokładnych informacji. Niedozwolone są na przykład reklamy, które: 
    • twierdzą, że zaktualizują Flasha, gdy pobierany program nie ma związku z Flashem;
    • zawierają tylko słowa „Pobierz” i „Odtwórz” bez informacji, jakie oprogramowanie reklamują;
    • zawierają przycisk „Odtwórz”, który powoduje pobieranie;
    • naśladują wygląd i styl strony wydawcy lub udają, że oferują treści (takie jak film), a zamiast tego prowadzą na stronę oprogramowania o innym przeznaczeniu.
    • Przeczytaj o inżynierii społecznej na naszym blogu o bezpieczeństwie online.
  • Program musi być zgodny ze swoim opisem z reklamy. Program powinien wyraźnie informować o swoich funkcjach i przeznaczeniu. Jeśli zbiera on dane o użytkownikach lub wstawia reklamy do przeglądarki, w zrozumiały sposób opisz te działania i nie przedstawiaj ich jako nieistotnych funkcji.
  • Wyczerpująco i dokładnie wyjaśnij użytkownikowi, jakie zmiany Twoje oprogramowanie wprowadzi w jego przeglądarce i systemie. Daj użytkownikom możliwość sprawdzenia i zatwierdzenia wszystkich ważnych opcji i zmian instalacyjnych. Główny interfejs użytkownika Twojego programu powinien wyraźnie ujawniać komponenty pliku binarnego i nie pozostawiać wątpliwości co do ich głównych funkcji. Plik binarny powinien umożliwiać użytkownikowi łatwe pomijanie instalowanych komponentów. Na przykład ukrywanie opcji lub wyszarzanie tekstu nie należą do pożądanych rozwiązań.
  • Powołuj się na rekomendacje tylko wtedy, gdy masz upoważnienie. Nie używaj logo innych firm w nieuprawniony sposób, by powołać się na ich rekomendację lub uwiarygodnić swój produkt. Nie używaj logo instytucji państwowych bez upoważnienia. 
  • Nie strasz użytkownika. Oprogramowanie nie może niezgodnie z prawdą informować użytkownika o stanie jego komputera – na przykład twierdzić, że system ma krytycznie niski poziom zabezpieczeń lub jest zainfekowany przez wirusa. Oprogramowanie nie może oferować usługi (takiej jak „przyspiesz swój komputer”), której w rzeczywistości nie udostępnia. Na przykład programy do czyszczenia i optymalizacji komputera można reklamować jako bezpłatne tylko wtedy, gdy reklamowane usługi i komponenty nie wymagają płatności.

Wytyczne dotyczące oprogramowania

  • Jeśli Twój program zmienia ustawienia Chrome, użyj interfejsu API Ustawień Google. Wszystkie zmiany domyślnych ustawień wyszukiwania, strony początkowej lub strony nowej karty w przeglądarce użytkownika należy wprowadzać za pomocą interfejsu Chrome Settings Override API, który wymaga zastosowania rozszerzenia do Chrome oraz zgodnej procedury instalacji tego rozszerzenia.
  • Pozwól przeglądarce i systemowi operacyjnemu wyświetlać okna dialogowe z odpowiednimi alertami dla użytkownika. Nie blokuj alertów, które pokazuje przeglądarka lub system operacyjny, zwłaszcza jeśli alerty te informują użytkownika o zmianach wprowadzonych w przeglądarce lub systemie. 
  • Zalecamy podpisanie kodu. Brak podpisu w pliku binarnym to nie powód, by oznaczyć go jako niechciane oprogramowanie, ale zalecamy podpisanie kodu programu ważnym i zweryfikowanym kluczem wydanym przez odpowiednią jednostkę certyfikacji, która udostępnia potwierdzone informacje o wydawcy.
  • Nie zmniejszaj zabezpieczeń ani środków ochrony zapewnianych przez połączenia TLS/SSL. Aplikacja nie może instalować głównego certyfikatu jednostki certyfikacji. Nie może też przechwytywać połączeń SSL/TLS, chyba że jest przeznaczona dla specjalistów, którzy debugują lub badają oprogramowanie. Szczegółowe informacje znajdziesz w poście na blogu Google o bezpieczeństwie online.
  • Chroń dane użytkownika. Oprogramowanie, w tym aplikacje mobilne, może przesyłać prywatne dane użytkownika na serwery wyłącznie w zakresie, w jakim wiąże się to z funkcjonalnością aplikacji. Należy o tym poinformować użytkownika i zadbać o szyfrowanie przesyłanych danych.
  • Nie szkodź nikomu. Twój plik binarny nie powinien działać wbrew woli użytkownika ani powodować żadnych szkód. Upewnij się, że pliki binarne do pobrania są zgodne z tymi powszechnymi zasadami:
    • Nie blokuj działania funkcji resetowania w przeglądarce. Przeczytaj o przycisku Zresetuj ustawienia przeglądarki w Chrome.
    • Przy wprowadzaniu zmian ustawień nie omijaj kontroli w interfejsie przeglądarki ani w systemie operacyjnym. Program powinien odpowiednio informować użytkownika i dawać mu kontrolę nad zmianami ustawień przeglądarki. Aby zmienić ustawienia Chrome, użyj interfejsu API ustawień (przeczytaj ten post na blogu Chromium).
    • Do zmiany działania Google Chrome używaj rozszerzeń, zamiast stosować inne metody programistyczne. Program nie powinien np. korzystać z bibliotek DLL (bibliotek łączonych dynamicznie), by umieszczać reklamy w przeglądarce, używać serwerów proxy przechwytujących ruch internetowy, korzystać z dostawcy LSP (Layered Service Provider), by przechwytywać działania użytkownika, ani umieszczać nowych elementów interfejsu na każdej stronie internetowej przez wprowadzenie poprawek w pliku binarnym Chrome.
    • Opisy usługi i jej komponentów nie powinny niepokoić użytkownika ani zawierać nieprawdziwych bądź zwodniczych stwierdzeń. Usługa nie może zawierać fałszywych informacji o stanie komputera, czyli na przykład twierdzić, że system ma krytycznie niski poziom zabezpieczeń lub jest zainfekowany przez wirusa. Narzędzia takie jak programy do czyszczenia rejestru nie powinny pokazywać niepokojących wiadomości na temat stanu komputera lub urządzenia użytkownika, twierdząc, że są w stanie zoptymalizować jego pracę.
    • Opracuj szybki, łatwy i bezpieczny proces odinstalowywania programu. Twój program powinien oferować zrozumiałe instrukcje związane z przywróceniem poprzednich ustawień przeglądarki lub systemu. Deinstalator powinien usuwać wszystkie komponenty bez zniechęcania użytkownika do kontynuowania procesu odinstalowywania, np. informacjami o potencjalnym negatywnym wpływie odinstalowania programu na system lub prywatność użytkownika.
  • Zadbaj o zgodność. Jeśli Twoje oprogramowanie obejmuje inne komponenty, musisz zadbać o to, by żaden z nich nie naruszał żadnych powyższych zaleceń.

Wytyczne dotyczące rozszerzeń do Chrome

  • Wszystkie rozszerzenia należy ujawniać i instalować w Chrome zgodnie z zasadami. Rozszerzenia muszą być udostępniane w sklepie Chrome Web Store, domyślnie wyłączone oraz zgodne z zasadami Chrome Web Store (w tym z zasadą jednego celu). Rozszerzenia instalowane z programu muszą korzystać z autoryzowanej procedury instalacji rozszerzeń do Chrome, która wyświetla użytkownikowi komunikat umożliwiający włączenie rozszerzenia w Chrome. Rozszerzenia nie mogą blokować okien dialogowych Chrome, które ostrzegają użytkownika o zmianie ustawień.
    Wyskakujące okienko w Chrome z prośbą o zatwierdzenie instalacji rozszerzenia.
  • Wyjaśnij użytkownikom, jak usunąć rozszerzenie do Chrome. Aby można było wygodnie korzystać z programu, procedura odinstalowania go musi usuwać wszystkie elementy, które zostały zainstalowane razem z nim. Powinna ona także zawierać instrukcje, jak użytkownik może samodzielnie wyłączyć i usunąć rozszerzenie.
  • Jeśli Twój plik binarny instaluje dodatek do przeglądarki lub zmienia jej domyślne ustawienia, powinien być zgodny z przebiegiem procesu instalacyjnego przeglądarki i interfejsem API. Gdy instaluje on np. rozszerzenie do Chrome, dostosuj go do zasad programu dla deweloperów Chrome i umieść w Chrome Web Store. Plik binarny zostanie zidentyfikowany jako szkodliwe oprogramowanie, jeśli powoduje instalowanie rozszerzenia do Chrome z naruszeniem polityki alternatywnych źródeł rozszerzeń przeglądarki Chrome.
Wytyczne dotyczące aplikacji mobilnych
  • Poinformuj użytkowników, że chcesz gromadzić ich dane. Zanim zaczniesz zbierać informacje i przesyłać je z urządzenia, musisz dać użytkownikom możliwość wyrażenia zgody na zbieranie ich danych, w tym takich, które dotyczą kont w innych usługach, adresu e-mail, numeru telefonu, zainstalowanych aplikacji oraz plików zapisanych na urządzeniu mobilnym. Dane osobowe lub poufne dane użytkowników należy gromadzić w sposób gwarantujący ich bezpieczeństwo, np. przesyłać je przy wykorzystaniu nowoczesnych rozwiązań szyfrujących (takich jak HTTPS). W przypadku aplikacji niezakupionych w sklepie Play musisz poinformować użytkownika o zamiarze gromadzenia danych w aplikacji. Jeśli chodzi o aplikacje Google Play, musisz poinformować użytkowników zgodnie z zasadami sklepu Play. Nie zbieraj danych, które wykraczają poza zakres zastosowania aplikacji.

  • Nie podszywaj się pod inne marki ani aplikacje. Nie wolno wykorzystywać niewłaściwych lub nieautoryzowanych zdjęć bądź projektów przypominających inną markę lub aplikację w sposób, który może zmylić użytkownika.

  • Treść nie może wykraczać poza kontekst aplikacji. Aplikacje nie powinny wpływać na działanie innych aplikacji ani urządzenia. Nie powinny również wyświetlać użytkownikom reklam ani dodatkowych treści wykraczających poza kontekst lub funkcję aplikacji bez uzyskania świadomej zgody użytkownika. Oprócz tego wszystkie reklamy pojawiające się w aplikacjach powinny zawierać informację o źródle, z którego pochodzą.

  • Aplikacja powinna działać w sposób zgodny z deklarowanym. Wszystkie reklamowane funkcje powinny być dostępne dla użytkowników w aplikacji. Aplikacje mogą aktualizować treść aplikacji, ale nie powinny pobierać dodatkowych aplikacji bez otrzymania świadomej zgody użytkownika.

  • Działanie aplikacji powinno być przejrzyste. Aplikacje nie powinny odinstalowywać ani zastępować innych aplikacji ani ich skrótów, chyba że aplikacja została stworzona specjalnie w tym celu. Proces odinstalowywania powinien być jasny i powinien usuwać całą aplikację. Aplikacje nie powinny naśladować komunikatów systemu operacyjnego urządzenia ani innych aplikacji.

Aplikacje rozpowszechniane w Google Play muszą być zgodne z Zasadami programu dla deweloperówUmową dystrybucyjną dla deweloperów, które zawierają dodatkowe wytyczne.

Rozwiązywanie problemów

Upewnij się, że Twoja witryna lub aplikacja jest zgodna z powyższymi wytycznymi, a następnie poproś o weryfikację z poziomu raportu Problemy dotyczące bezpieczeństwa.

Jeśli Twoja aplikacja mobilna wyświetla ostrzeżenia, przeczytaj informacje o weryfikacji aplikacji i składaniu odwołań.

 

Czy to było pomocne?
Jak możemy ją poprawić?