惡意軟體和垃圾軟體

Google 會檢查網站所代管的軟體或可下載的執行檔，是否會對使用者體驗造成負面影響。惡意軟體和垃圾軟體是指可下載的二進位檔，或是在網站上執行並影響網站訪客的應用程式。如要瞭解您的網站代管了哪些可疑檔案，可以查看安全性問題報告中的清單。

什麼是惡意軟體？

凡是刻意危害電腦、行動裝置、這些裝置執行的軟體或其使用者的軟體或行動應用程式，均屬於惡意軟體。惡意軟體的危害行為包括：未經使用者同意便擅自安裝軟體，以及安裝病毒等有害軟體。有時候，網站擁有者並未意識到其網站上的可下載檔案是惡意軟體，因而在無意間代管了這類二進位檔。

• 如要進一步瞭解 Google 如何協助使用者防範惡意的下載內容，請參閱 Google 線上安全性網誌的協助使用者防範惡意的下載內容一文。
• 如要瞭解我們對網路安全軟體訂立的標準，請參閱垃圾軟體政策。

什麼是垃圾軟體？

垃圾軟體是一種執行檔或行動應用程式，會欺騙使用者或出現無法預期的行為，也可能造成使用者瀏覽網頁以及使用電腦時的困擾。舉例來說，有些軟體會違反您的意願，逕自竄改您的首頁或其他瀏覽器設定；也有些應用程式會在未明確告知使用者的情況下洩漏私人或個人資訊。

如要進一步瞭解 Google 如何協助使用者防範垃圾軟體，請參閱 Google 線上安全性網誌的下載項目不符預期一文。

修正相關問題

請確定您的網站或應用程式符合相關指南規範，然後就能在安全性問題報告中提出審查要求。

如果您的行動應用程式顯示警告訊息，您可以提出申訴。

指南規範

請確定您未違反《垃圾軟體政策》，並且遵守以下規範。違規行為會導致使用者在下載應用程式及造訪網站時收到警告訊息。請注意，以下僅列舉部分行為。如要瞭解您的網站代管了哪些可疑檔案，可以查看安全性問題報告中的清單。

清楚表明意圖

• 將軟體的用途和意圖如實告知使用者。使用者必須能憑自身意志下載軟體，而且能透過點選明確告知下載內容資訊的正確廣告，準確得知自己將下載什麼內容。引導使用者下載軟體的廣告不得顯示欺騙性或不正確的資訊，例如：
  • 廣告中只有「下載」或「播放」這類字眼，未標明所宣傳的軟體。
  • 點選 [播放] 按鈕會直接下載軟體。
  • 廣告模仿發布商網站的外觀和風格，並假裝提供內容 (例如電影)，但引導下載的軟體卻不相關。
  • 請前往我們的線上安全性網誌，參閱社交工程相關文章。
• 軟體功效符合廣告宣稱。您必須明確闡述程式的功能和訴求。如果您的程式會收集使用者資料，或是在使用者的瀏覽器中插入廣告，請清楚說明這些行為，勿將其描述成無關緊要的功能。
• 向使用者明確說明您的軟體會對瀏覽器和系統進行哪些變更。讓使用者可以檢閱並核准所有重要的安裝選項與變更。程式的主要使用者介面必須清楚揭露二進位檔的元件與元件的主要功能，二進位檔則必須讓使用者可以輕鬆跳過隨附元件安裝程序。舉例來說，隱藏這些選項或使用幾乎看不清的文字，就不是適當的揭露方式。
• 背書行為必須獲得授權。請勿以未經授權的方式使用其他公司的標誌，藉此為產品提供合法證明或背書，也請不要在未經授權的情況下使用政府的標誌。
• 請勿讓使用者心生畏懼。軟體不可對使用者提供不實的裝置狀態，例如聲稱系統的安全性受到嚴重威脅或遭病毒感染。此外，軟體不得聲稱提供實際上未提供或無法提供的服務，例如「加快電腦的處理速度」。舉例來說，如果廣告指出提供「免費」電腦清理工具和最佳化工具，那就不得要求使用者付費才能使用宣傳的服務和元件。

軟體規範

• 如果您的程式會變更 Chrome 設定，請使用 Google Settings API。 所有對使用者的預設搜尋設定、起始網頁或新分頁進行的變更，都必須透過 Chrome Settings Override API 執行，該 API 會要求您使用 Chrome 擴充功能以及符合規範的擴充功能安裝流程。
• 允許瀏覽器和作業系統透過對話方塊向使用者發出警示。 請勿阻止瀏覽器或作業系統向使用者發出警示，特別是用來提醒使用者瀏覽器或作業系統會出現變更的警示。
• 建議您簽署程式碼。雖然系統不會將未簽署的二進位檔認定為垃圾軟體，我們仍建議程式使用有效且經過驗證的程式碼簽名，且由程式碼簽署授權單位核發，代表發布者資訊可供驗證。
• 請勿將傳輸層安全標準 (TLS)/安全資料傳輸層 (SSL) 連線提供的安全性與防護措施降級。應用程式不可安裝根憑證授權單位憑證。除非是要讓專家用於偵錯或調查軟體，否則應用程式不得攔截 SSL/TLS 連線。詳情請參閱相關的 Google 安全性網誌文章。
• 保護使用者的資料。如果軟體 (包括行動應用程式) 會將使用者的私人資料傳輸到伺服器，必須明確告知使用者並加密保護使用者的資料。此外，傳輸的資料必須與應用程式本身的功能相關。
• 不破壞設定。二進位檔必須顧及使用者的瀏覽體驗，不可造成使用者的困擾。請確認您的可下載二進位檔遵循以下通用政策：
  • 不影響瀏覽器重設功能。進一步瞭解 Chrome 的重設瀏覽器設定按鈕。
  • 如果程式會變更設定，請不要略過或隱藏相關的瀏覽器/作業系統 UI 控制項。對於發生在瀏覽器中的設定變更，您的程式必須為使用者提供適當的通知訊息和控制項。請參閱這篇 Chromium 網誌文章，並使用 Settings API 變更 Chrome 設定。
  • 使用擴充功能調整 Google Chrome 功能，不以其他程式設計手段改變瀏覽器行為。舉例來說，程式不得使用 DLL (動態連結程式庫) 在瀏覽器中插入廣告、部署會攔截流量的 Proxy、利用分層服務提供者攔截使用者的動作，也不得藉由修補 Chrome 二進位檔，在每個網頁插入新 UI。
  • 您的產品和元件說明不得讓使用者心生畏懼，且/或不得提供不實或誤導性的聲明。舉例來說，產品不得提供不實聲明，如聲稱系統的安全性受到嚴重威脅或遭病毒感染。登錄檔清理工具這類程式不得顯示有關使用者電腦或裝置狀態的警告訊息，聲稱使用該程式可提升使用者電腦的安全性。
  • 解除安裝程序必須顯眼易找、操作簡易且沒有威脅性。 您的程式必須有標示清楚的操作說明，方便使用者將瀏覽器和/或系統復原至先前的設定。解除安裝程式必須移除「所有」元件，不得讓使用者心生恐懼而中斷解除安裝程序，例如聲稱軟體一旦解除安裝，使用者的系統或隱私可能遭受負面影響。
• 維護整體品質。如果您的軟體包含其他軟體元件，您必須確保這些元件均符合建議事項。

Chrome 擴充功能規範

• 根據政策規定，擴充功能一律必須在 Chrome 環境中公開及安裝。 擴充功能必須由 Chrome 線上應用程式商店代管，且預設為停用，並符合 Chrome 線上應用程式商店的各項政策，包括單一用途政策。透過程式安裝的擴充功能必須使用授權的 Chrome 擴充功能安裝流程，藉此提示使用者在 Chrome 中啟用擴充功能。設定變更時，Chrome 會透過對話方塊向使用者發出警示，擴充功能不可禁止這類警示。
  
• 指導使用者如何移除 Chrome 擴充功能。解除安裝程式時，如果能一併移除當初同時安裝的所有項目，就算是良好的使用體驗。解除安裝流程應包含有關停用及刪除擴充功能的操作說明，讓使用者能夠自行作業。
• 如果二進位檔會安裝瀏覽器外掛程式或變更預設的瀏覽器設定，則必須採用相應瀏覽器所支援的安裝流程和 API。舉例來說，如果二進位檔安裝的是 Chrome 擴充功能，該檔案便須由 Chrome 線上應用程式商店代管，且遵循 Chrome 的《開發人員計畫政策》。如果二進位檔安裝 Chrome 擴充功能的方式違反了《Chrome 擴充功能替代發布選項政策》，Google 便會視為惡意軟體。
  • 前往 Chromium 網誌及線上安全性網誌，參閱無訊息安裝相關文章。
  • 進一步瞭解如何在 Chrome 線上應用程式商店發布擴充功能。

行動應用程式規範

• 告知使用者您會收集他們的資料。如要收集使用者的資料並透過裝置傳送，請先徵詢使用者同意；適用資料包括使用者的第三方帳戶、電子郵件、電話號碼、已安裝的應用程式，以及行動裝置上的檔案等。您必須以安全無虞的方式處理收集到的使用者個人資料或機密資料，包括使用新型密碼編譯法傳輸的資料 (例如透過 HTTPS)。如果是非 Google Play 應用程式，您必須在應用程式內向使用者揭露資料收集行為。如果是 Google Play 應用程式，應以符合 Google Play 政策的方式向使用者揭露。您收集資料的範圍不得超出應用程式聲明的資料用途。

• 請勿假冒其他品牌或應用程式。請勿以不恰當或未經授權的方式，使用與其他品牌/應用程式雷同而可能造成使用者混淆的圖像或設計。
• 確保所有內容皆符合應用程式用途。應用程式不得干擾其他應用程式及裝置的可用性。應用程式必須徵得使用者同意，並在所有廣告出現位置註明廣告來源，否則不得對使用者顯示與本身內容/功能無關的廣告或其他內容。
• 應用程式必須為使用者提供承諾的服務。應用程式必須向使用者提供廣告中宣傳的所有功能。應用程式可更新自身內容，但必須經過使用者同意才能下載其他應用程式。
• 應用程式的行為應公開透明。應用程式不得解除安裝或取代其他應用程式 (或其捷徑)，除非這就是應用程式所宣稱的用途。解除安裝流程必須清楚完整。應用程式不得模仿裝置 OS 或其他應用程式的提示。

透過 Google Play 發行的應用程式必須符合《開發人員計畫政策》和《開發人員發行協議》詳述的其他相關規定。

如果您是 Search Console 使用者，且您的網站有無法修正或持續發生的安全性問題，請通知我們。

回報安全性問題