惡意軟體和垃圾軟體

Google 會檢查網站上是否放置了軟體或可下載的執行檔,這類檔案會對使用者體驗造成負面影響。「安全性問題」報告會針對您網站上放置的可疑檔案列出一份清單。

開啟安全性問題報告

簡介

惡意軟體和垃圾軟體是指可下載的二進位檔,或是在網站上執行並影響網站訪客的應用程式。

什麼是惡意軟體?

凡是刻意危害電腦、行動裝置、本身執行的軟體或使用者的軟體或行動應用程式,均屬於惡意軟體。惡意軟體會帶來各種形式的副作用,包括未經使用者同意擅自安裝軟體,以及安裝病毒等有害軟體。有時候,網站管理員不會意識到這些可下載檔案是惡意軟體,因而在不經意間在伺服器上存放了這類二進位檔。

  • 如要進一步瞭解 Google 如何協助使用者防範惡意下載,請參閱 Google 線上安全性網誌的協助使用者防範惡意下載一文。
  • 此外,也請參閱我們的《垃圾軟體政策》,以瞭解我們對網路安全軟體訂立的標準。

什麼是垃圾軟體?

垃圾軟體是一種可執行檔或行動應用程式,會欺騙使用者或出現無法預期的行為,也可能造成使用者上網以及使用電腦時的困擾。舉例來說,有些軟體會違反您的意願,逕自竄改您的首頁或其他瀏覽器設定;也有些應用程式會在未明確告知使用者的情況下洩漏私人或個人資訊。

  • 如要進一步瞭解 Google 如何協助使用者防範垃圾軟體,請參閱 Google 線上安全性網誌的下載項目不符預期一文。

 

安全性問題報告中的「惡意軟體」是指未經使用者明確操作便自動執行的網路惡意軟體。「有害的下載內容」則是指惡意軟體或垃圾軟體的下載項目,必須由使用者明確執行下載操作。

規範

請確定您未違反《垃圾軟體政策》,並且遵守以下這些規範。這些行為 (可能未全數列出) 會導致使用者在下載應用程式及造訪網站時收到警告訊息。「安全性問題」報告會針對您網站上放置的可疑檔案列出一份清單。

清楚表明意圖

  • 如實告知使用者軟體的用途和意圖。 廣告必須清楚告知使用者,在點選後會下載的確切軟體為何,讓使用者在瞭解正確資訊的情況下自願下載軟體。引導使用者下載軟體的廣告不可欺騙使用者或提供不正確的資訊,例如:
    • 下載的程式與 Flash 無關,但廣告宣稱會更新 Flash。
    • 廣告僅含 [下載] 或 [播放] 這類選項,未針對廣告的軟體加以說明。
    • 點選 [播放] 按鈕會直接下載軟體。
    • 廣告模仿發佈商網站的外觀和風格,並假裝提供內容 (例如電影),卻下載不相關的軟體。
    • 請前往我們的線上安全性網誌參閱社交軟體工程相關文章。
  • 軟體行為與廣告內容必須相符。 程式的功能和意圖必須清楚明確。如果您的程式會收集使用者資料,或是在使用者的瀏覽器中植入廣告,請以明確的說詞清楚陳述這些行為,不得偽裝成不重要的功能。
  • 向使用者明確說明您的軟體會對瀏覽器和系統進行哪些變更。 允許使用者檢閱及核准所有重要安裝選項和變更項目。程式的主要使用者介面應清楚說明二進位檔的元件與其主要功能,二進位檔則應提供可讓使用者略過隨附元件安裝程序的簡便方法。諸如隱藏或以灰階文字顯示這些選項,都不是合適的揭露方式。
  • 背書行為必須獲得授權。 請勿以未經授權的方式使用其他公司的標誌為特定產品提供合法證明或背書,以及在未經授權的情況下使用政府的標誌。
  • 請勿讓使用者心生畏懼。 軟體不可對使用者提供不實的裝置狀態,例如在不符實情的狀況下,聲稱系統的安全性受到嚴重威脅,或是系統遭到病毒感染。此外,軟體不可聲稱提供實際上未提供或無法提供的服務 (例如「加快電腦的處理速度」)。舉例來說,只有在使用者不需付費使用廣告的服務和元件的情況下,廣告內容才能包含「免費」電腦清理工具和最佳化工具這類用詞。

軟體規範

  • 如果您的程式會變更 Chrome 設定,請使用 Google Settings API。 如需變更使用者的預設搜尋設定、起始網頁或新分頁,一律要透過 Chrome Settings Override API 執行,因此必須使用 Chrome 擴充功能,以及符合規範的擴充功能安裝流程。
  • 允許瀏覽器和作業系統透過對話方塊向使用者發出警示。 請勿禁止瀏覽器或作業系統向使用者發出警示,特別是告知使用者瀏覽器或作業系統會有所變更的警示。
  • 建議您簽署程式碼。 雖然二進位檔未經簽署不會造成您的二進位檔被認定為垃圾軟體,我們仍建議程式使用有效且經過驗證的程式碼簽名 (由程式碼簽署授權單位核發),代表發佈者資訊可供驗證。
  • 請勿將 TLS/SSL 連線提供的安全性與防護措施降級。 應用程式不可安裝根憑證授權單位憑證。除非是要讓專家用於偵錯或調查軟體,否則應用程式不可攔截 SSL/TLS 連線。詳情請參閱相關的 Google 安全性網誌文章
  • 保護使用者的資料。 如果軟體 (包括行動應用程式) 會將使用者的私人資料傳輸到伺服器,必須明確告知使用者並加密保護使用者的資料。此外,傳輸的資料必須與應用程式本身的功能相關。
  • 不破壞設定。二進位檔需顧及使用者的瀏覽體驗,不可造成使用者的困擾。請確認您的可下載二進位檔符合以下幾項通用原則:
    • 不影響瀏覽器重設功能。進一步瞭解 Chrome 的重設瀏覽器設定按鈕。
    • 為設定的變更提供瀏覽器或作業系統的使用者介面控制項。對於發生在瀏覽器中的設定變更,您的程式應為使用者提供適當的通知訊息和控制選項。請使用 Settings API 變更 Chrome 設定 (請參閱這篇 Chromium 網誌文章)。
    • 使用擴充功能調整 Google Chrome 功能,而非以其他程式設計手段改變瀏覽器行為。舉例來說,您的程式不得使用 DLL (動態連結程式庫) 在瀏覽器中投放廣告、部署會攔截流量的 Proxy、利用層次服務提供者攔截使用者的動作,也不得藉由修補 Chrome 二進位檔,在每個網頁插入新使用者介面。
    • 您的產品和元件說明不得讓使用者心生畏懼,且/或不得提供不實或誤導性的聲明。 舉例來說,您的產品不得提供不實聲明,如聲稱系統的安全性受到嚴重威脅,或是系統遭到病毒感染。登錄檔清理工具這類程式不得針對使用者電腦或裝置的狀態顯示警告訊息,聲稱使用該程式可提升使用者電腦的安全性。
    • 解除安裝程序必須顯眼易找、操作容易,且不具備任何威脅意味。您的程式應具備標示清楚的操作說明,以便將瀏覽器和/或系統復原至先前的設定。解除安裝程式應移除「所有」元件,不得讓使用者心生恐懼而中斷解除安裝的程序,例如聲稱軟體一旦解除安裝,使用者的系統或隱私可能遭受負面影響。
  • 維護整體品質。 如果您的軟體包含其他軟體元件,請確保這些元件均符合上述建議事項。

Chrome 擴充功能規範

  • 根據政策規定,擴充功能一律必須在 Chrome 環境中公開及安裝。 擴充功能必須由 Chrome 線上應用程式商店代管、預設為停用,並符合 Chrome 線上應用程式商店的各項政策 (包括單一用途政策)。透過程式安裝的擴充功能必須使用授權的 Chrome 擴充功能安裝流程,藉此提示使用者在 Chrome 中啟用擴充功能。擴充功能不可禁止 Chrome 針對設定變更透過對話方塊向使用者發出警示。
    要求您核准安裝擴充功能的 Chrome 彈出式視窗。
  • 指導使用者如何移除 Chrome 擴充功能。 解除安裝程式時,如果當初同時安裝的所有項目都能一併移除,較能讓使用者得到良好的體驗。解除安裝流程應提供讓使用者自行停用及刪除擴充功能的操作說明。
  • 如果二進位檔會安裝瀏覽器外掛程式,或變更預設的瀏覽器設定,則應採用相應瀏覽器所支援的安裝流程和 API。舉例來說,如果二進位檔安裝的是 Chrome 擴充功能,該檔案便需由 Chrome 線上應用程式商店代管,且遵循 Chrome 的《開發人員計畫政策》。如果二進位檔會安裝 Chrome 擴充功能,但所用方式違反了《Chrome 替代擴充功能發佈選項政策》,Google 均會視為惡意軟體。
行動應用程式規範
  • 告知使用者您需要收集其資料。開始收集資料並透過裝置傳送資料前,您必須先詢問使用者是否同意您收集他們的資料,包括第三方帳戶、電子郵件、電話號碼、已安裝的應用程式,以及行動裝置上的檔案等。您必須以安全無虞的方式處理收集到的使用者個人資訊或機密資料,包括使用新型密碼編譯法 (例如透過 HTTPS) 傳輸資料。對於非 Google Play 應用程式,您必須在應用程式內向使用者說明您的資料收集行為。如為 Google Play 應用程式,應以符合 Google Play 政策的方式告知使用者。您收集資料的範圍不得超出應用程式已發佈的資料用途。

  • 切勿假冒其他品牌或應用程式。禁止不當使用或未經授權使用與其他品牌/應用程式雷同,因而可能造成使用者混淆的圖像或設計。

  • 所有內容須與該應用程式有關。應用程式不得干擾其他應用程式及裝置的可用性。如未經使用者同意,且未清楚標示廣告來源 (無論廣告顯示在何處),亦不得對使用者顯示廣告或與應用程式內容/功能無關的其他內容。

  • 應用程式必須為使用者提供廣告中承諾的相同服務。應用程式廣告中宣傳的所有功能,皆必須提供使用者存取。應用程式可更新自身內容,但必須經過使用者同意才能下載其他應用程式。

  • 行為應公開透明。應用程式不得解除安裝其他應用程式或其快速鍵設定,亦不得予以更換,除非這類行為是該應用程式的指定用途。解除安裝流程應清楚完整。應用程式不得模仿裝置 OS 或其他應用程式的提示。

透過 Google Play 發布的應用程式必須遵守《開發人員計畫政策》、《開發人員發布協議》以及其他相關規定。

修正相關問題

請確定您的網站或應用程式符合上述規範,然後您就可以在安全性問題報告中提出審查要求。

如果您的行動應用程式顯示警告訊息,請參閱應用程式驗證與申訴的相關說明

 

這對您有幫助嗎?
我們應如何改進呢?