Malware e software indesejado

O Google verifica sites para descobrir se eles hospedam softwares ou arquivos executáveis para download que prejudicam a experiência do usuário. No relatório "Problemas de segurança", é possível ver uma lista de todos os arquivos suspeitos hospedados no seu site.

ABRIR O RELATÓRIO DE PROBLEMAS DE SEGURANÇA

Visão geral

Os malwares e softwares indesejados podem ser binários ou aplicativos para download que são executados em um site e afetam os visitantes.

O que é malware?

Malware é qualquer software ou aplicativo para dispositivos móveis projetado especificamente para causar danos a um computador, dispositivo móvel, bem como a usuários ou ao software o que executa. Além disso, o malware apresenta um comportamento malicioso que pode incluir a instalação de software sem o consentimento do usuário e a instalação de software nocivo, como vírus. Às vezes, os webmasters não percebem que os arquivos disponibilizados para download são considerados malware, por isso esses binários talvez sejam hospedados inadvertidamente.

O que é software indesejado?

Software indesejado é um aplicativo para dispositivos móveis ou arquivo executável que tem comportamento enganoso, inesperado ou que afeta negativamente a experiência de navegação ou computação do usuário. Por exemplo, software que muda a página inicial ou altera outras configurações do navegador de modo indesejado ou aplicativos que vazam informações pessoais e privadas sem a devida divulgação.

 

No relatório "Problemas de segurança", a classificação "Malware" corresponde ao malware baseado na Web que opera sem ação explícita do usuário. "Downloads prejudiciais" refere-se aos downloads de malware ou software indesejado que precisam ser explicitamente iniciados pelo usuário.

Diretrizes

Mantenha a conformidade com a Política de software indesejado e siga as diretrizes listadas lá. Apesar de não ser uma lista completa, esses comportamentos podem fazer com que aplicativos e sites exibam avisos quando os usuários iniciam um download ou uma visita. No relatório de Problemas de segurança, é possível ver uma lista de todos os arquivos suspeitos hospedados no seu site.

Apresentação clara e precisa

  • Informe os usuários de maneira precisa sobre o propósito e a intenção de um software. Os usuários devem estar cientes ao fazerem o download do software, sabendo exatamente o que será transferido ao clicarem em um anúncio preciso que informe de maneira clara o que será transferido. Anúncios que levam o usuário a fazer um download não podem ser enganosos ou imprecisos, como: 
    • Um anúncio que alegue a necessidade de atualização do Flash caso o programa transferido não seja relacionado ao Flash.
    • Um anúncio que contenha as palavras "Download" ou "Reproduzir" sem identificar a qual software ele se refere.
    • Um botão "Reproduzir" que leve o usuário a fazer um download.
    • Um anúncio que imita a aparência e o estilo do site do editor e finge oferecer conteúdo (um filme, por exemplo), mas acaba levando o usuário a um software não relacionado.
    • Leia sobre Engenharia social em nosso Blog de segurança on-line (em inglês).
  • Proceda conforme o anunciado. As funções e intenções do seu programa devem ser evidentes. Se o programa coletar dados do usuário ou inserir anúncios no navegador dele, deixe isso bem claro e não retrate essas funções como características insignificantes.
  • Explique para o usuário de maneira clara e explícita as mudanças que seu software fará no navegador e no sistema. Permita que os usuários analisem e aprovem todas as opções e alterações significativas da instalação. A interface principal do usuário do seu programa deve divulgar com clareza os componentes do binário e a funcionalidade principal desses componentes. O binário deve oferecer ao usuário uma maneira fácil de pular a instalação de componentes agrupados. Por exemplo, ocultar essas opções ou usar texto esmaecido não é suficiente para a divulgação.
  • Use recomendações somente quando autorizado. Não use logotipos de outras empresas sem autorização a fim de legitimar ou recomendar um produto. O mesmo vale para logotipos de governos. 
  • Não dê um susto no usuário. O software não pode representar incorretamente o estado da máquina do usuário (por exemplo, alegando que o sistema está em um estado crítico de segurança ou infectado com vírus). O software não deve oferecer um serviço não fornecido ou que não pode fornecer (por exemplo, "deixe seu computador mais rápido"). Os softwares que servem para limpar e otimizar o computador, por exemplo, não podem ser anunciados como "gratuitos", exceto se os serviços e componentes anunciados não exigirem pagamento.

Diretrizes para software

  • Use a API Google Settings caso seu programa altere as configurações do Google Chrome. Qualquer alteração nas configurações de pesquisa padrão do usuário, na página de inicialização ou na página nova guia precisa ser feita por meio da API Chrome Settings Override. Isso exige o uso de uma extensão do Google Chrome, assim como um fluxo de instalação da extensão compatível.
  • Permita que caixas de diálogo do navegador e do sistema operacional alertem o usuário conforme pretendido. Não impeça a exibição de alertas do navegador ou do sistema operacional para o usuário, principalmente aqueles que informam sobre alterações no navegador ou no SO. 
  • Recomendamos que você assine seu código. Um código binário sem assinatura não chega a ser um motivo para uma sinalização de software indesejado. No entanto, recomendamos que os programas tenham uma assinatura de código válida e verificada, emitida por uma autoridade de assinatura de códigos que apresente informações de publicação que possam ser verificadas.
  • Não comprometa as medidas de segurança e proteção fornecidas por conexões TLS/SSL. Um aplicativo não pode instalar um certificado de autoridade de certificação raiz. Ele também não pode interceptar conexões SSL/TLS, a menos que seja projetado para especialistas com o propósito de investigar ou depurar software. Para ver mais detalhes, confira esta postagem do blog de segurança do Google (em inglês). https://support.google.com/styleguides/answer/6006171?hl=pt-BR
  • Proteja os dados do usuário. Os softwares, incluindo os apps para dispositivos móveis, só podem transmitir aos servidores os dados privados do usuário relacionados à função do aplicativo. Além disso, essas transmissões precisam ser criptografadas e divulgadas para o usuário.
  • Não prejudique ninguém. O binário deve respeitar a experiência de navegação do usuário, e não prejudicá-la. Assegure-se de que seus binários para download aderem às seguintes políticas comuns:
    • Não desabilite o recurso de redefinição do navegador. Leia sobre o botão de redefinir configurações do navegador (site em inglês) no Google Chrome.
    • Não ignore nem suprima o controle de alterações de configuração da interface do usuário do sistema operacional ou navegador. Seu programa deve notificar os usuários e permitir que eles controlem as mudanças nas configurações do navegador de forma adequada. Use a API Settings para alterar as configurações do Chrome. Saiba mais com esta postagem do blog do Chromium (em inglês).
    • Use uma extensão para alterar a funcionalidade do Google Chrome em vez de mudar o comportamento do navegador por outras formas de programação. Por exemplo, seu programa não deve usar bibliotecas de vínculo dinâmico (DLL, na sigla em inglês) para injetar anúncios no navegador nem implantar proxies que interceptem o tráfego. O programa também não deve usar um provedor de serviços em camadas (LSP, na sigla em inglês) para interceptar as ações dos usuários, assim como não deve usar patches no binário do Google Chrome para inserir novas interfaces do usuário em todas as páginas da Web.
    • Suas descrições de produtos e componentes não devem assustar o usuário e/ou fazer declarações falsas ou enganosas. Por exemplo, o produto não deve fazer declarações falsas sobre o sistema estar em estado crítico de segurança ou infectado por vírus. Os programas como limpadores de registro não devem exibir mensagens alarmantes sobre o estado do computador ou dispositivo do usuário e afirmar que podem otimizar o computador.
    • Faça um processo de desinstalação simples, fácil de encontrar e livre de ameaças. Seu programa deve ter instruções claras para retornar o navegador e/ou o sistema às configurações anteriores. O desinstalador deve remover todos os componentes e não deve impedir o usuário de continuar o processo de desinstalação, por exemplo alegando possíveis efeitos negativos para o sistema ou a privacidade do usuário caso o software seja desinstalado.
  • Ande em boa companhia. Caso seu software agrupe outros componentes, você será responsável por garantir que nenhum deles viole as recomendações acima.

Diretrizes para extensões do Chrome

  • Todas as extensões precisam ser divulgadas e instaladas no Google Chrome para fins de conformidade com a política. As extensões precisam ser hospedadas na Chrome Web Store, estar desativadas por padrão e obedecer às políticas, incluindo a política de propósito único. As extensões instaladas a partir de um programa precisam usar o fluxo de instalação de extensões autorizadas do Google Chrome. Esse fluxo solicitará que o usuário ative as extensões dentro do Google Chrome. As extensões não podem suprimir caixas de diálogo do Google Chrome que alertem o usuário sobre mudanças nas configurações.
    O pop-up do Google Chrome solicita aprovação para instalar uma extensão.
  • Instrua os usuários sobre como remover uma extensão do Google Chrome. Uma boa experiência do usuário ocorre quando ele desinstala um programa e, dessa forma, tudo o que foi instalado junto com o programa também é removido. O fluxo de desinstalação precisa incluir instruções para que o usuário desative e exclua a extensão por conta própria.
  • O binário precisa seguir o fluxo de instalação e a API compatíveis com o navegador caso instale um complemento ou altere as configurações padrão dele. Por exemplo, se o binário instalar uma extensão do Chrome, ela precisará ser hospedada na Chrome Web Store e aderir às políticas do programa para desenvolvedores do Chrome. Seu binário será identificado como malware se ele instalar uma extensão do Google Chrome em violação da política de opções de distribuição alternativa de extensões do Google Chrome.

Diretrizes de apps para dispositivos móveis

  • Informe os usuários que você tem a intenção de coletar os dados deles.  Antes de começar a fazer isso, dê aos usuários uma oportunidade de concordar com a coleta de dados, incluindo informações sobre aplicativos instalados, arquivos no dispositivos móvel, e-mail, número de telefone e contas de terceiros. Os dados pessoais ou confidenciais coletados dos usuários devem ser tratados de maneira segura, além de ser transmitidos por meio de criptografia moderna (por exemplo, por HTTPS). Para aplicativos que não são do Google Play, é necessário informar a coleta de dados ao usuário no próprio aplicativo. Para aplicativos do Google Play, essa divulgação deve estar de acordo com a política do Google Play. Não colete dados que não façam parte do uso publicado do seu aplicativo.

  • Não imite a identidade de outro aplicativo nem marca. Não use imagens impróprias nem não autorizadas nem design semelhante ao de outro aplicativo ou marca de maneira que possam confundir o usuário.

  • Deixe todo o conteúdo dentro do contexto do aplicativo. Os aplicativos não podem interferir com outros aplicativos nem exibir anúncios ou outro conteúdo ao usuário que não façam parte do contexto nem da função do aplicativo em questão.

  • O aplicativo deve cumprir as promessas feitas aos usuários. Toda a funcionalidade anunciada deve ser disponibilizada ao usuário no aplicativo. Os aplicativos podem atualizar o conteúdo de outros, mas não devem fazer download de aplicativos adicionais sem o consentimento do usuário.

  • Dê transparência ao comportamento. Os aplicativos não devem desinstalar nem substituir outros aplicativos ou atalhos, a não ser que essa seja a funcionalidade declarada do aplicativo. A desinstalação deve ser clara e completa. Os aplicativos não devem imitar instruções do SO do dispositivo nem de outros aplicativos.

Correção do problema

Confirme que seu site ou aplicativo segue as diretrizes acima e solicite uma revisão no relatório "Problemas de segurança".

Caso seu app para dispositivos móveis esteja exibindo avisos, leia este artigo sobre a verificação de apps e as contestações.

 

Este artigo foi útil para você?
Como podemos melhorá-lo?