Złośliwe i niechciane oprogramowanie

Google sprawdza, czy w witrynach znajduje się oprogramowanie lub wykonywalne pliki do pobrania, które mogłyby powodować, że strona działa inaczej, niż tego oczekują użytkownicy. Lista podejrzanych plików hostowanych w Twojej witrynie znajduje się w raporcie Problemy dotyczące bezpieczeństwa.

Omówienie

Złośliwe lub niechciane oprogramowanie to możliwe do pobrania pliki binarne lub aplikacje, które mogą uruchamiać się na stronie i wpływać na jej działanie w sposób niekorzystny dla użytkowników.

Co to jest złośliwe oprogramowanie?

Termin „złośliwe oprogramowanie” odnosi się do programów komputerowych lub aplikacji mobilnych zaprojektowanych specjalnie w celu zaszkodzenia użytkownikom lub zakłócania pracy komputera, urządzenia mobilnego bądź zainstalowanych na nim aplikacji. Działanie złośliwego oprogramowania objawia się instalowaniem programów bez zgody użytkownika lub instalowaniem szkodliwych aplikacji, np. wirusów. Właściciele witryn czasem nie zdają sobie sprawy, że ich pliki do pobrania zawierają szkodliwe oprogramowanie i nieświadomie je hostują.

Co to jest niechciane oprogramowanie?

Niechciane oprogramowanie to pliki wykonywalne lub aplikacje mobilne, których celem są zwodnicze, niezamierzone przez użytkownika i szkodliwe działania obniżające funkcjonalność komputera i internetu. Są to np. programy przełączające stronę główną lub zmieniające ustawienia przeglądarki na takie, których użytkownik sobie nie życzy. Mogą to być też aplikacje wykradające informacje prywatne i niejawne dane osobowe.

Wytyczne

Upewnij się, że nie naruszasz Zasad dotyczących niechcianego oprogramowania i postępuj zgodnie z podanymi tu wytycznymi. Lista nie jest wyczerpująca, ale wymienione na niej nadużycia mogą powodować, że użytkownicy, którzy spróbują pobrać aplikację lub wejść na stronę, zobaczą odpowiednie ostrzeżenie. Lista podejrzanych plików hostowanych w Twojej witrynie znajduje się w raporcie Problemy dotyczące bezpieczeństwa.

Nie podawaj fałszywych informacji o swoim oprogramowaniu
  • Dokładnie informuj użytkowników o przeznaczeniu i sposobie działania oprogramowania. Użytkownicy powinni pobierać oprogramowanie świadomie (mając dokładną wiedzę, co pobierają) przez kliknięcie rzetelnej reklamy, która wyraźnie informuje, jaki program zostanie pobrany. Reklamy umożliwiające pobieranie nie mogą wprowadzać w błąd ani podawać niedokładnych informacji. Niedozwolone są np. reklamy, które:
    • zawierają tylko słowa „Pobierz” lub „Odtwórz” bez informacji, jakie oprogramowanie reklamują;
    • zawierają przycisk „Odtwórz”, który powoduje pobieranie;
    • naśladują wygląd i styl strony wydawcy lub udają, że oferują treści (takie jak film), a zamiast tego prowadzą na stronę oprogramowania o innym przeznaczeniu.
    • Przeczytaj o inżynierii społecznej na naszym blogu o bezpieczeństwie online.
  • Program musi być zgodny ze swoim opisem z reklamy. Program powinien wyraźnie informować o swoich funkcjach i przeznaczeniu. Jeśli zbiera on dane o użytkownikach lub wstawia reklamy do przeglądarki, w zrozumiały sposób opisz te działania i nie przedstawiaj ich jako nieistotnych funkcji.
  • Wyczerpująco i dokładnie wyjaśnij użytkownikowi, jakie zmiany Twoje oprogramowanie wprowadzi w jego przeglądarce i systemie. Daj użytkownikom możliwość sprawdzenia i zatwierdzenia wszystkich ważnych opcji i zmian instalacyjnych. Główny interfejs użytkownika Twojego programu powinien wyraźnie ujawniać komponenty pliku binarnego i nie pozostawiać wątpliwości co do ich głównych funkcji. Plik binarny powinien umożliwiać użytkownikowi łatwe pomijanie instalowanych komponentów. Na przykład ukrywanie opcji lub używanie prawie niewidocznego tekstu nie należą do pożądanych rozwiązań.
  • Powołuj się na rekomendacje tylko wtedy, gdy masz upoważnienie. Nie używaj logo innych firm w nieuprawniony sposób, by powołać się na ich rekomendację lub uwiarygodnić swój produkt. Nie używaj logo instytucji państwowych bez upoważnienia.
  • Nie strasz użytkownika. Oprogramowanie nie może niezgodnie z prawdą informować użytkownika o stanie jego komputera – na przykład twierdzić, że system ma krytycznie niski poziom zabezpieczeń lub jest zainfekowany przez wirusa. Oprogramowanie nie może oferować usługi (takiej jak „przyspiesz swój komputer”), której w rzeczywistości nie udostępnia. Na przykład programy do czyszczenia i optymalizacji komputera można reklamować jako bezpłatne tylko wtedy, gdy reklamowane usługi i komponenty nie wymagają płatności.
Wytyczne dotyczące oprogramowania
  • Jeśli Twój program zmienia ustawienia Chrome, użyj interfejsu Google Settings API. Wszystkie zmiany domyślnych ustawień wyszukiwania, strony początkowej lub strony nowej karty w przeglądarce użytkownika należy wprowadzać za pomocą interfejsu Chrome Settings Override API, który wymaga zastosowania rozszerzenia do Chrome oraz zgodnej procedury instalacji tego rozszerzenia.
  • Pozwól przeglądarce i systemowi operacyjnemu wyświetlać okna dialogowe z odpowiednimi alertami dla użytkownika. Nie blokuj alertów pokazywanych przez przeglądarkę lub system operacyjny zwłaszcza wtedy, gdy informują one użytkownika o zmianach wprowadzonych w przeglądarce lub systemie.
  • Zalecamy podpisanie kodu. Brak podpisu w pliku binarnym to nie powód, by oznaczyć go jako niechciane oprogramowanie, ale zalecamy podpisanie kodu programu ważnym i zweryfikowanym kluczem wydanym przez odpowiednią jednostkę certyfikacji, która udostępnia potwierdzone informacje o wydawcy.
  • Nie zmniejszaj zabezpieczeń ani środków ochrony zapewnianych przez połączenia TLS/SSL. Aplikacja nie może instalować głównego certyfikatu jednostki certyfikacji. Nie może też przechwytywać połączeń SSL/TLS, chyba że jest przeznaczona dla specjalistów, którzy debugują lub badają oprogramowanie. Szczegółowe informacje znajdziesz w poście na blogu Google o bezpieczeństwie online.
  • Chroń dane użytkowników. Oprogramowanie, w tym aplikacje mobilne, może przesyłać prywatne dane użytkownika na serwery wyłącznie w zakresie, w jakim wiąże się to z funkcjonalnością aplikacji. Należy o tym poinformować użytkownika i zadbać o szyfrowanie przesyłanych danych.
  • Nie szkodź nikomu. Twój plik binarny nie powinien działać wbrew woli użytkownika ani powodować żadnych szkód. Upewnij się, że pliki binarne do pobrania są zgodne z tymi powszechnymi zasadami:
    • Nie blokuj działania funkcji resetowania w przeglądarce. Przeczytaj o przycisku Zresetuj ustawienia przeglądarki w Chrome.
    • Przy wprowadzaniu zmian ustawień nie omijaj kontroli w interfejsie przeglądarki ani w systemie operacyjnym. Program powinien odpowiednio informować użytkownika i dawać mu kontrolę nad zmianami ustawień przeglądarki. Aby zmienić ustawienia Chrome, użyj interfejsu Settings API (przeczytaj tego posta na blogu Chromium).
    • Do zmiany działania Google Chrome używaj rozszerzeń, zamiast stosować inne metody programistyczne. Program nie powinien np. korzystać z bibliotek DLL (bibliotek łączonych dynamicznie), by umieszczać reklamy w przeglądarce, używać serwerów proxy przechwytujących ruch internetowy, korzystać z dostawcy LSP (ang. Layered Service Provider), by przechwytywać działania użytkownika, ani umieszczać nowych elementów interfejsu na każdej stronie internetowej przez wprowadzenie poprawek w pliku binarnym Chrome.
    • Opisy usługi i jej komponentów nie powinny niepokoić użytkownika ani zawierać nieprawdziwych bądź zwodniczych stwierdzeń. Usługa nie może zawierać fałszywych informacji o stanie komputera, czyli na przykład twierdzić, że system ma krytycznie niski poziom zabezpieczeń lub jest zainfekowany przez wirusa. Narzędzia takie jak programy do czyszczenia rejestru nie powinny pokazywać niepokojących wiadomości na temat stanu komputera lub urządzenia użytkownika, twierdząc, że są w stanie zoptymalizować jego pracę.
    • Opracuj szybki, łatwy i bezpieczny proces odinstalowywania programu. Twój program powinien oferować zrozumiałe instrukcje związane z przywróceniem poprzednich ustawień przeglądarki lub systemu. Dezinstalator powinien usuwać wszystkie komponenty bez zniechęcania użytkownika do kontynuacji procesu odinstalowywania, np. informacjami o potencjalnym negatywnym wpływie odinstalowania programu na system lub prywatność użytkownika.
  • Zadbaj o zgodność. Jeśli Twoje oprogramowanie obejmuje inne komponenty, musisz zadbać o to, by żaden z nich nie naruszał żadnych podanych wyżej zaleceń.
Wytyczne dotyczące rozszerzeń do Chrome
  • Wszystkie rozszerzenia należy ujawniać i instalować w Chrome zgodnie z zasadami. Rozszerzenia muszą być udostępniane w sklepie Chrome Web Store, domyślnie wyłączone oraz zgodne z zasadami Chrome Web Store (w tym z zasadą 1 celu). Rozszerzenia instalowane z poziomu programu muszą korzystać z autoryzowanej procedury instalacji rozszerzeń do Chrome, która wyświetla użytkownikowi komunikat umożliwiający włączenie rozszerzenia w Chrome. Rozszerzenia nie mogą blokować okien dialogowych Chrome, które ostrzegają użytkownika o zmianie ustawień.
    Wyskakujące okienko w Chrome z prośbą o zatwierdzenie instalacji rozszerzenia.
  • Wyjaśnij użytkownikom, jak usunąć rozszerzenie do Chrome. Aby można było wygodnie korzystać z programu, procedura odinstalowania go musi usuwać wszystkie elementy, które zostały zainstalowane razem z nim. Powinna ona też zawierać instrukcje, jak użytkownik może samodzielnie wyłączyć i usunąć rozszerzenie.
  • Jeśli Twój plik binarny instaluje dodatek do przeglądarki lub zmienia jej domyślne ustawienia, powinien być zgodny z przebiegiem procesu instalacyjnego przeglądarki i interfejsem API. Gdy Twój plik instaluje np. rozszerzenie do Chrome, dostosuj go do zasad programu dla deweloperów Chrome i umieść w Chrome Web Store. Plik binarny zostanie zidentyfikowany jako szkodliwe oprogramowanie, jeśli powoduje instalowanie rozszerzenia do Chrome z naruszeniem polityki alternatywnych źródeł rozszerzeń przeglądarki Chrome.
Wytyczne dotyczące aplikacji mobilnych
  • Poinformuj użytkowników o zamiarze gromadzenia ich danych. Zanim zaczniesz zbierać informacje i przesyłać je z urządzenia, musisz dać użytkownikom możliwość wyrażenia zgody na zbieranie ich danych, w tym takich, które dotyczą kont w innych usługach, adresu e-mail, numeru telefonu, zainstalowanych aplikacji oraz plików zapisanych na urządzeniu mobilnym. Dane osobowe lub poufne dane użytkowników należy gromadzić w sposób gwarantujący ich bezpieczeństwo, np. przesyłać je przy wykorzystaniu nowoczesnych rozwiązań szyfrujących (takich jak HTTPS). W przypadku aplikacji niepochodzących ze sklepu Play musisz informować użytkowników o zamiarze gromadzenia danych w aplikacji. Jeśli chodzi o aplikacje ze sklepu Google Play, musisz informować użytkowników zgodnie z jego zasadami. Nie zbieraj danych, które wykraczają poza zakres zastosowań aplikacji.

  • Nie podszywaj się pod inne marki ani aplikacje. Nie wolno wykorzystywać niewłaściwych lub nieautoryzowanych zdjęć ani elementów wizualnych przypominających inną markę bądź aplikację w sposób, który może zmylić użytkownika.
  • Treści nie mogą wykraczać poza kontekst aplikacji. Aplikacje nie powinny wpływać na działanie innych aplikacji ani urządzenia. Nie powinny też wyświetlać użytkownikom reklam ani dodatkowych treści wykraczających poza kontekst lub funkcję aplikacji bez uzyskania świadomej zgody użytkownika. Oprócz tego wszystkie reklamy pojawiające się w aplikacjach powinny zawierać informację o źródle, z którego pochodzą.
  • Aplikacja powinna działać w sposób zgodny z deklarowanym. Wszystkie reklamowane funkcje powinny być dostępne dla użytkowników w aplikacji. Aplikacje mogą aktualizować swoją treść, ale nie powinny pobierać dodatkowych aplikacji bez otrzymania świadomej zgody użytkownika.
  • Działanie aplikacji powinno być przejrzyste. Aplikacje nie powinny odinstalowywać ani zastępować innych aplikacji bądź ich skrótów, chyba że aplikacja została stworzona specjalnie w tym celu. Proces odinstalowywania powinien być jasny i usuwać całą aplikację. Aplikacje nie powinny naśladować komunikatów systemu operacyjnego urządzenia ani innych aplikacji.

Aplikacje rozpowszechniane w Google Play muszą być zgodne z Zasadami programu dla deweloperówUmową dystrybucyjną dla deweloperów, które zawierają dodatkowe wytyczne.

Jak naprawić problem

Upewnij się, że Twoja witryna lub aplikacja jest zgodna z podanymi wyżej wytycznymi, a następnie poproś o weryfikację z poziomu raportu Problemy dotyczące bezpieczeństwa.

Jeśli Twoja aplikacja mobilna wyświetla ostrzeżenia, przeczytaj informacje o weryfikowaniu aplikacji i składaniu odwołań.