Вредоносное или нежелательное ПО

Google проверяет сайты на наличие ПО или скачиваемых исполняемых файлов, которые могут доставлять неудобства пользователям. Помимо прочего, к вредоносному и нежелательному ПО относятся исполняемые файлы, которые загружаются на устройства пользователей, и приложения на сайте, способные нанести посетителям какой-либо ущерб. Все потенциально опасные файлы, размещенные на вашем сайте, перечислены в отчете Проблемы безопасности.

Что такое вредоносное ПО

Вредоносное ПО – это программы или мобильные приложения, разработанные для нанесения ущерба компьютерам, мобильным устройствам, операционным системам или пользователям. Такие программы могут установить то или иное ПО без ведома пользователя или заразить устройство вирусом. Владельцы сайтов не всегда знают, что файлы, доступные для скачивания на их сайте, считаются вредоносными, поэтому такие исполняемые файлы могут храниться на сайте непреднамеренно.

• В нашем блоге о безопасности в интернете вы можете прочитать статью, в которой рассказывается о том, как Google защищает пользователей от подобных угроз.
• Критерии, по которым мы оцениваем безопасность программ, перечислены в правилах Google в отношении нежелательного ПО.

Что такое нежелательное ПО

Нежелательное ПО – это исполняемый файл или приложение, которые могут совершать обманные или не ожидаемые пользователем действия и отрицательно влиять на работу компьютера или мобильного устройства. Помимо прочего, такие программы могут менять настройки браузера, например стартовую страницу, или отправлять вашу личную информацию другим лицам.

Чтобы узнать больше о том, как Google защищает пользователей от нежелательного ПО, прочитайте запись в нашем блоге, посвященную новым возможностям Безопасного просмотра.

Как устранить проблему

Убедившись, что ваш сайт или приложение не нарушают наши правила, вы можете запросить проверку на наличие вредоносного или нежелательного ПО.

Если проблема относится к мобильному приложению, вы можете подать апелляцию.

Правила

Ознакомьтесь с правилами в отношении нежелательного ПО и убедитесь, что ваш сайт не нарушает их. Перечень примеров не является исчерпывающим. Если мы выявили нарушения этих правил, при попытке перейти на ваш сайт или скачать ваше приложение пользователям может показываться предупреждение. Все потенциально опасные файлы, размещенные на вашем сайте, перечислены в отчете Проблемы безопасности.

Не сообщайте пользователям ложную информацию

• Предоставляйте точную информацию о назначении ПО. Пользователи должны знать, какую программу и зачем они скачивают. В частности, если для этого им нужно нажать на объявление, то в нем должна быть ясно изложенная информация о ПО. Объявления не должны содержать недостоверную информацию и вводить в заблуждение. Ниже представлены примеры недопустимой рекламы:
  • объявления, которые вместо названия приложения и сведений о нем содержат лишь слова "Скачать" или "Воспроизвести";
  • кнопка "Воспроизвести", при нажатии на которую начинается загрузка приложения;
  • объявление, которое связано с нежелательным ПО, однако имитирует интерфейс обычного сайта и выглядит так, будто при нажатии на него должен воспроизводиться контент, например фильм.
  • Подробнее о социальной инженерии читайте в нашем блоге.
• Функции приложения должны соответствовать его описанию. Сведения о действиях, которые выполняет приложение, должны быть ясно изложены. Например, если оно собирает данные или добавляет в браузер рекламу, об этом нужно явно сообщить пользователю – такие функции не должны рассматриваться как второстепенные.
• Подробно объясните пользователям, как именно установка вашего ПО повлияет на работу браузера и устройства. Пользователи должны иметь возможность проверять и подтверждать все существенные изменения. В интерфейсе программы нужно подробно указывать компоненты исполняемого файла и их основные функции. Должна быть предусмотрена возможность отказа от установки таких компонентов. В связи с этим настройки установки нельзя скрывать, например используя текст, который плохо видно.
• Используйте логотипы других компаний и организаций, только если у вас есть все необходимые разрешения. Помимо прочего, это относится к государственным организациям. Добавление таких логотипов без разрешения является нарушением наших правил.
• Не старайтесь напугать пользователей. Приложение не должно показывать неверные или ложные сообщения о состоянии устройства, например о том, что безопасность системы под угрозой или обнаружены вирусы. Нельзя утверждать, что ПО выполняет определенные функции, если это не так или этого вообще невозможно добиться ("сделайте свой компьютер во много раз быстрее"). Например, приложение для очистки и оптимизации системы можно называть бесплатным, только если за выполнение этих действий не взимаются средства.

Правила в отношении программ и приложений

• Если ваше приложение может влиять на какие-либо настройки Chrome, применяйте Google Settings API. К таким настройкам может относиться выбор поисковой системы, стартовой страницы по умолчанию и URL для новой вкладки. Начать работу с указанным API вам помогут эти материалы. Вы должны будете использовать специальное расширение Chrome и соблюдать правила установки расширений.
• Не мешайте пользователям получать оповещения от браузера и операционной системы. Не блокируйте такие сообщения, в том числе содержащие сведения об изменениях в браузере или операционной системе.
• Подписывайте свой код. Мы рекомендуем вам получить проверенный сертификат подписи кода для своих исполняемых файлов, хотя он не является обязательным для того, чтобы они считались безопасными. Этот сертификат должен содержать достоверные сведения о вас и быть выпущен организацией, которая пользуется доверием.
• Не вмешивайтесь в работу средств обеспечения безопасности при подключении по протоколу TLS/SSL. Приложения не должны устанавливать корневые сертификаты. Перехватывать подключения SSL/TLS можно только в том случае, если приложение предназначено для проверки и отладки ПО. Более подробные сведения об этом вы найдете в нашем блоге.
• Обеспечьте защиту пользовательских данных. Программы и приложения могут передавать пользовательские данные только на сервер (если это необходимо для работы ПО). При этом информация должна быть зашифрована, а обо всех фактах ее передачи необходимо сообщать пользователю.
• Не пытайтесь никому навредить. Ваш исполняемый файл должен помогать пользователю, а не наносить ему ущерб. Убедитесь, что ваши доступные для скачивания исполняемые файлы соответствуют следующим требованиям:
  • Не нарушается работоспособность сброса настроек браузера. Ознакомьтесь с информацией о кнопке Сбросить настройки в Chrome.
  • Вы не пытаетесь внести изменения в настройки браузера или операционной системы в обход пользовательского интерфейса. Ваша программа должна уведомлять пользователя об установке и предоставлять ему полный контроль над этой процедурой. Для изменения настроек Chrome используйте Settings API. Почитайте запись о защите пользовательских настроек на Windows с помощью нового Settings API в нашем блоге о Chromium.
  • Вносите изменения в алгоритмы работы Google Chrome только через расширения. Не используйте для этого другие программные методы. Например, ваша программа не должна встраивать объявления в браузер с помощью DLL (динамически подключаемых библиотек), использовать LSP (многоуровневый поставщик услуг) для вмешательства в действия пользователя или внедрять какие-либо элементы интерфейса на каждую веб-страницу путем изменения кода Chrome.
  • Не добавляйте в описание продукта или его компонентов ложные сведения или информацию, которая может испугать пользователя. Например, нельзя заявлять, что система находится в критическом состоянии или заражена вирусами, если это не так. Программы, предназначенные для оптимизации работы компьютера или мобильного устройства (например, для очистки реестра), не должны показывать ложные оповещения о проблемах.
  • Сделайте процесс удаления ПО удобным и безопасным. В программе должны быть четкие инструкции по сбросу изменений в настройках браузера или системы. При этом должны удаляться все ее компоненты. Недопустимы сообщения, призывающие пользователя остановить процесс удаления, в частности ложные заявления о возможных негативных последствиях для системы или безопасности личных данных.
• Проверяйте сторонние компоненты. Если программное обеспечение содержит такие компоненты, убедитесь, что они не нарушают наши рекомендации.

Правила в отношении расширений Chrome

• Подробно рассказывайте пользователям о расширении и предоставляйте им возможность самостоятельно устанавливать его в Chrome. Обратите внимание, что расширения в Интернет-магазине Chrome должны соответствовать нашим требованиям (в частности, иметь только одно назначение) и быть отключены по умолчанию. Вам также следует соблюдать правила установки расширений Chrome из приложений. По завершении установки пользователю должна быть показана подсказка о возможности включить расширение в Chrome. Ваше расширение не должно блокировать оповещения браузера о внесенных в настройки изменениях.
  
• Сообщайте пользователю, как самостоятельно отключать или удалять расширения. Обычно подразумевается, что при удалении ПО с устройства должны быть также удалены все связанные с ним элементы. Пользователю нужно предоставлять инструкции по самостоятельному отключению или удалению расширения.
• Если исполняемый файл устанавливает расширение браузера или задает настройки браузера, то изменения не должны нарушать правила в отношении установки и API. Например, если устанавливается расширение Chrome, то оно должно быть размещено в интернет-магазине Chrome и соответствовать Правилам программы для разработчиков. Если ваш исполняемый файл устанавливает расширение для Chrome с нарушением правил применения альтернативных методов распространения расширений Chrome, то он будет признан вредоносным.
  • Прочитайте статьи об автоматической установке в блоге Chromium и в блоге о безопасности в интернете.
  • Ознакомьтесь со статьей о том, как публиковать расширения в интернет-магазине Chrome.

Правила в отношении мобильных приложений

• Сообщайте пользователям о намерении собирать их данные. Получите согласие пользователей на сбор их данных, прежде чем начнете сбор и передачу такой информации с устройства. Помимо прочего, это относится к сведениям о сторонних аккаунтах, адресах электронной почты, номерах телефонов, установленных приложениях и файлах на мобильном устройстве. Личные и конфиденциальные данные пользователей должны безопасно обрабатываться и передаваться с помощью современных методов шифрования (например, через HTTPS). О сборе данных в приложениях, размещенных не в Google Play, необходимо уведомлять в самом приложении. Если приложение размещено в Google Play, сообщать о сборе данных нужно с соблюдением правил сервиса. Не собирайте данные, если они не будут использоваться в соответствии с опубликованным описанием приложения.

• Не пытайтесь выдать свой продукт за другой бренд или приложение. Не используйте изображения или элементы оформления, имитирующие другие бренды, чтобы ввести аудиторию в заблуждение.
• Использование всего контента должно выполняться в пределах самого приложения. Приложения не должны взаимодействовать с другими приложениями и влиять на удобство работы с устройством. Кроме того, приложения могут показывать пользователю медийную рекламу или какие-либо материалы вне приложения и его функций, только если от пользователя получено нужное согласие и при любом показе объявления явным образом указан его источник.
• Приложение должно содержать все заявленные функции. Приложения могут обновляться, но не должны скачивать другие приложения без согласия пользователя.
• Предоставляйте пользователям полную информацию о работе приложения. Приложения не должны удалять или перемещать другие приложения или их ярлыки, если это не является заявленной функцией приложения. При удалении приложения должны удаляться все его компоненты. Запрещается имитировать оповещения операционной системы или других приложений.

Приложения, которые распространяются через Google Play, должны соответствовать правилам программы для разработчиков и требованиям Соглашения о распространении программных продуктов.