Phần mềm độc hại và phần mềm không mong muốn

Google kiểm tra các trang web để xem trên đó có lưu trữ phần mềm hoặc tệp thực thi có thể tải xuống nào gây ảnh hưởng tiêu cực đến trải nghiệm người dùng hay không. Phần mềm độc hại và phần mềm không mong muốn là các tệp nhị phân có thể tải xuống hoặc các ứng dụng chạy trên trang web ảnh hưởng đến khách truy cập trang web. Bạn có thể xem danh sách các tệp đáng ngờ đang lưu trữ trên trang web của mình trong báo cáo Vấn đề bảo mật.

Phần mềm độc hại là gì?

Phần mềm độc hại là những phần mềm hoặc ứng dụng dành cho thiết bị di động có chủ đích gây hại cho người dùng, máy tính, thiết bị di động hay phần mềm chạy trên máy tính/thiết bị di động đó. Phần mềm độc hại thực hiện những hành vi có hại, chẳng hạn như cài đặt phần mềm khi người dùng chưa đồng ý hay cài đặt những phần mềm có hại như virus. Đôi khi chủ sở hữu trang web không nhận ra rằng các tệp có thể tải xuống của họ được xem là phần mềm độc hại. Do đó, họ có thể vô tình lưu trữ những tệp nhị phân như vậy.

Phần mềm không mong muốn là gì?

Phần mềm không mong muốn là một tệp thực thi hoặc ứng dụng di động có hành vi lừa đảo, hành vi không mong muốn hoặc gây ảnh hưởng tiêu cực đến trải nghiệm của người dùng trên máy tính hoặc trình duyệt. Có thể kể đến một số ví dụ như phần mềm chuyển trang chủ hoặc chế độ cài đặt khác của trình duyệt sang một trang chủ hoặc chế độ cài đặt mà bạn không muốn, hoặc các ứng dụng làm rò rỉ thông tin riêng tư và thông tin cá nhân mà không công bố thông tin đúng cách.

Để biết thêm về cách giúp Google bảo vệ người dùng khỏi phần mềm không mong muốn, hãy xem bài viết Đó không phải là tệp tải xuống bạn đang tìm kiếm... trên Blog về bảo mật trực tuyến của Google.

Khắc phục vấn đề

Hãy đảm bảo trang web hoặc ứng dụng của bạn tuân thủ những nguyên tắc trên. Sau đó, bạn có thể yêu cầu xem xét lại trong báo cáo Vấn đề bảo mật.

Nếu có cảnh báo xuất hiện đối với ứng dụng di động của bạn, bạn có thể gửi đơn khiếu nại.

Nguyên tắc

Hãy đảm bảo bạn không vi phạm Chính sách về phần mềm không mong muốn và tuân thủ những nguyên tắc dưới đây. Mặc dù danh sách này chưa hoàn chỉnh, nhưng những hành vi như vậy có thể khiến người dùng thấy cảnh báo trên các ứng dụng và trang web khi tải xuống hoặc truy cập vào đó. Bạn có thể xem danh sách các tệp đáng ngờ đang lưu trữ trên trang web của mình trong báo cáo Vấn đề bảo mật.

Không được cung cấp thông tin sai lệch về chính mình

  • Cho người dùng biết chính xác mục đích và ý định của phần mềm. Người dùng phải được tự chủ việc tải phần mềm xuống khi đã biết chính xác nội dung sẽ được tải xuống. Việc này được thể hiện bằng việc nhấp vào một quảng cáo thông báo cho người dùng rõ ràng và chính xác nội dung sẽ được tải xuống. Quảng cáo đưa người dùng đến nội dung tải xuống không được cung cấp thông tin sai lệch hay lừa gạt, chẳng hạn như:
    • Quảng cáo chỉ có chữ "Tải xuống" hay "Chơi" mà không xác định rõ phần mềm đang được quảng cáo trên đó.
    • Nút "Chơi" dẫn đến một tệp tải xuống.
    • Quảng cáo bắt chước giao diện trang web của nhà xuất bản và giả vờ cung cấp nội dung (ví dụ: một bộ phim) nhưng thay vào đó lại dẫn đến một phần mềm không liên quan.
    • Đọc về hành vi Tấn công phi kỹ thuật trên Blog về bảo mật trực tuyến của chúng tôi.
  • Hoạt động đúng như quảng cáo. Hãy đảm bảo chương trình của bạn nêu rõ ràng thông tin về chức năng và ý định của chương trình đó. Nếu chương trình của bạn thu thập dữ liệu người dùng hoặc chèn quảng cáo vào trình duyệt của người dùng, hãy thông báo về những hành vi này bằng ngôn từ rõ ràng và Không được cho rằng những hành vi đó là các tính năng không quan trọng.
  • Giải thích công khai và rõ ràng cho người dùng về những thay đổi mà phần mềm của bạn sẽ tạo ra đối với trình duyệt và hệ thống. Cho phép người dùng xem xét và phê duyệt mọi chế độ cài đặt và thay đổi quan trọng. Giao diện người dùng chính của chương trình của bạn phải công bố rõ ràng các thành phần của tệp nhị phân và chức năng chính của những thành phần đó. Tệp nhị phân phải đưa ra cho người dùng một cách dễ dàng để bỏ qua việc cài đặt các thành phần đi kèm. Ví dụ: việc ẩn các lựa chọn hoặc sử dụng văn bản khó nhìn thấy không phải là cách hay để công bố thông tin.
  • Chỉ dùng thông tin chứng thực khi được cho phép. Không được dùng biểu tượng của công ty khác khi chưa được phép để hợp pháp hoá hay chứng thực cho một sản phẩm. Không được dùng biểu tượng của chính phủ khi chưa được phép.
  • Không được doạ người dùng. Phần mềm không được xuyên tạc về tình trạng của thiết bị của người dùng, chẳng hạn như bằng cách tuyên bố rằng hệ thống đang lâm vào tình trạng nguy hiểm về bảo mật hoặc bị nhiễm virus. Phần mềm không được tuyên bố rằng sẽ cung cấp một dịch vụ (ví dụ: "tăng tốc máy tính của bạn") nhưng thực tế lại không thể hoặc không cung cấp dịch vụ như vậy. Ví dụ: không được quảng cáo trình làm sạch và tối ưu hoá máy tính "miễn phí" trừ phi các dịch vụ và chức năng được quảng cáo không yêu cầu người dùng phải thanh toán.

Nguyên tắc đối với phần mềm

  • Hãy dùng API Cài đặt Google (Google Settings) nếu chương trình của bạn thay đổi các chế độ cài đặt trên Chrome. Mọi thay đổi đối với chế độ cài đặt tìm kiếm mặc định của người dùng, trang khởi động hay trang thẻ mới đều phải được thực hiện bằng API Ghi đè chế độ cài đặt của Chrome (Chrome Settings Override). Để làm được như vậy, bạn bắt buộc phải dùng một tiện ích của Chrome, đồng thời, làm đúng quy trình cài đặt tiện ích theo quy định.
  • Cho phép hộp thoại của trình duyệt và hệ điều hành gửi cảnh báo cho người dùng theo đúng chức năng của những hộp thoại đó. Không được chặn những cảnh báo do trình duyệt hay hệ điều hành gửi cho người dùng, đặc biệt là những cảnh báo cho người dùng biết các thay đổi đối với trình duyệt hay hệ điều hành của họ.
  • Bạn nên ký mã của mình. Tệp nhị phân của bạn sẽ không bị gắn cờ là phần mềm không mong muốn chỉ vì không có chữ ký, dù vậy, mã lập trình của các chương trình nên có chữ ký hợp lệ, đã được xác minh và do cơ quan có thẩm quyền cấp. Chữ ký đó sẽ chứa thông tin có thể xác minh về nhà xuất bản.
  • Không được làm suy yếu các biện pháp bảo vệ và bảo mật của kết nối TLS/SSL. Ứng dụng không được cài đặt chứng chỉ của tổ chức phát hành chứng chỉ gốc. Ứng dụng cũng không được chặn kết nối SSL/TLS trừ phi được thiết kế để các chuyên gia gỡ lỗi hay kiểm tra phần mềm. Để biết thêm thông tin, hãy xem bài đăng liên quan trên Blog về bảo mật của Google.
  • Bảo vệ dữ liệu người dùng. Phần mềm, bao gồm cả ứng dụng dành cho thiết bị di động, chỉ được truyền dữ liệu riêng tư của người dùng đến máy chủ nếu dữ liệu đó liên quan đến chức năng của ứng dụng, đồng thời hoạt động truyền này phải được mã hoá và công bố cho người dùng.
  • Không được gây hại. Tệp nhị phân của bạn phải tôn trọng và không gây hại đến trải nghiệm của người dùng trên trình duyệt. Hãy đảm bảo tệp nhị phân có thể tải xuống của bạn tuân thủ những chính sách chung sau đây:
    • Không được làm hỏng chức năng đặt lại của trình duyệt. Hãy đọc thông tin về nút đặt lại các chế độ cài đặt của trình duyệt trong Chrome.
    • Không được bỏ qua hoặc ngăn chặn thành phần điều khiển trên giao diện người dùng của hệ điều hành hoặc của trình duyệt nhằm thay đổi chế độ cài đặt. Chương trình của bạn phải thông báo đúng cách cho người dùng và cho phép họ kiểm soát những thay đổi đối với chế độ cài đặt trên trình duyệt. Hãy dùng API Cài đặt (Settings) để thay đổi các chế độ cài đặt trên Chrome (xem bài đăng này trên blog của Chromium về việc bảo vệ chế độ cài đặt của người dùng trên Windows bằng API Cài đặt mới).
    • Hãy dùng một tiện ích để thay đổi chức năng của Google Chrome, thay vì dùng các phương pháp lập trình để thay đổi hành vi của trình duyệt. Ví dụ: chương trình của bạn không được dùng các thư viện liên kết động (DLL) để chèn quảng cáo vào trình duyệt, không được triển khai các proxy can thiệp vào lưu lượng truy cập, không được dùng một nhà cung cấp dịch vụ phân lớp để chặn thao tác của người dùng hoặc chèn một giao diện người dùng mới vào từng trang web bằng cách vá tệp nhị phân trên Chrome.
    • Thông tin mô tả sản phẩm và thành phần không được gây hoang mang và/hoặc đưa ra những tuyên bố sai lệch, gây hiểu nhầm. Ví dụ: sản phẩm của bạn không được đưa ra tuyên bố sai lệch về việc hệ thống đang lâm vào tình trạng nguy hiểm về bảo mật hoặc bị nhiễm virus. Những chương trình như trình xoá sổ đăng ký không được hiện các thông báo cảnh báo về tình trạng của máy tính hoặc thiết bị của người dùng và tuyên bố rằng những chương trình đó có thể tối ưu hoá máy tính của người dùng.
    • Cung cấp quy trình gỡ cài đặt dễ tìm, đơn giản và không gây lo lắng. Chương trình của bạn phải có hướng dẫn được gắn nhãn rõ ràng về cách đưa trình duyệt và/hoặc hệ thống trở lại chế độ cài đặt trước đó. Trình gỡ cài đặt phải xoá mọi thành phần và không được ngăn người dùng tiếp tục quá trình gỡ cài đặt, chẳng hạn như bằng việc tuyên bố rằng hệ thống hoặc quyền riêng tư của người dùng sẽ có khả năng bị ảnh hưởng tiêu cực nếu phần mềm bị gỡ cài đặt.
  • Dùng thành phần đi kèm hợp lệ. Nếu phần mềm của bạn đi kèm với các thành phần phần mềm khác, bạn có trách nhiệm đảm bảo rằng không có thành phần nào trong số này vi phạm những đề xuất nêu trên.

Nguyên tắc đối với tiện ích của Chrome

  • Tất cả tiện ích đều phải được công bố và cài đặt trong Chrome đúng theo chính sách. Các tiện ích phải được lưu trữ trong Cửa hàng Chrome trực tuyến, bị vô hiệu hoá theo mặc định và phải tuân thủ các chính sách của Cửa hàng Chrome trực tuyến (trong đó có chính sách về mục đích duy nhất). Các tiện ích được cài đặt qua một chương trình sẽ phải triển khai quy trình cài đặt tiện ích được phê duyệt của Chrome, quy trình này sẽ nhắc người dùng kích hoạt những tiện ích đó trong Chrome. Các tiện ích không được ngăn Chrome gửi hộp thoại cảnh báo cho người dùng về những thay đổi trong chế độ cài đặt.
    Một cửa sổ bật lên trên Chrome đang yêu cầu phê duyệt để cài đặt một tiện ích.
  • Hướng dẫn người dùng cách gỡ một tiện ích của Chrome. Trải nghiệm người dùng tốt là khi người dùng gỡ cài đặt một chương trình thì mọi thành phần cài đặt kèm theo chương trình đó cũng bị xoá. Quy trình gỡ cài đặt phải đưa ra hướng dẫn cho người dùng để họ có thể tự vô hiệu hoá và xoá tiện ích đó.
  • Nếu tệp nhị phân của bạn cài đặt một tiện ích bổ sung hoặc thay đổi chế độ cài đặt mặc định của trình duyệt, thì tệp đó phải tuân theo API và quy trình cài đặt phù hợp với trình duyệt. Ví dụ: nếu tệp nhị phân đó cài đặt một tiện ích của Chrome, thì tiện ích đó phải được lưu trữ trong Cửa hàng Chrome trực tuyến và tuân thủ Chính sách chương trình dành cho nhà phát triển của Chrome. Tệp nhị phân của bạn sẽ bị xem là phần mềm độc hại nếu tệp đó cài đặt một tiện ích của Chrome vi phạm chính sách Lựa chọn phân phối tiện ích thay thế của Chrome.

Nguyên tắc đối với ứng dụng di động

  • Cho người dùng biết ý định của bạn về việc thu thập dữ liệu của họ. Phải có cách để người dùng thể hiện sự đồng ý với việc thu thập dữ liệu trước khi bạn bắt đầu thu thập và gửi dữ liệu qua thiết bị, kể cả dữ liệu về các tài khoản bên thứ ba, email, số điện thoại, ứng dụng đã cài đặt và các tệp trên thiết bị di động. Hãy đảm bảo rằng mọi dữ liệu cá nhân và nhạy cảm của người dùng mà bạn thu thập (bao gồm cả dữ liệu truyền qua phương thức mã hoá hiện đại như HTTPS) sẽ được xử lý một cách an toàn. Đối với ứng dụng không phân phối qua Play, bạn phải công bố thông tin cho người dùng về việc bạn thu thập dữ liệu trong ứng dụng đó. Đối với ứng dụng trên Google Play, việc công bố thông tin phải tuân thủ chính sách của Play. Không được thu thập dữ liệu ngoài mục đích sử dụng đã công bố.

  • Không được mạo danh thương hiệu hoặc ứng dụng khác. Không được dùng những hình ảnh/thiết kế giống với thương hiệu hoặc ứng dụng khác khi chưa được cho phép hoặc không thích hợp nhằm khiến người dùng nhầm lẫn.
  • Tất cả nội dung đều phải giới hạn trong phạm vi của ứng dụng. Ứng dụng không được can thiệp vào các ứng dụng khác hay vào khả năng hữu dụng của thiết bị. Ứng dụng không được cho người dùng thấy quảng cáo hoặc nội dung khác không liên quan đến bối cảnh hoặc chức năng của ứng dụng khi chưa được người dùng đồng ý và chưa nêu rõ nguồn của quảng cáo mỗi khi quảng cáo xuất hiện.
  • Ứng dụng phải cung cấp tính năng như đã hứa hẹn với người dùng. Ứng dụng phải cung cấp cho người dùng mọi chức năng đã quảng cáo. Ứng dụng có thể cập nhật nội dung nhưng không được tải ứng dụng khác xuống khi người dùng chưa biết và chưa đồng ý.
  • Minh bạch về hành vi. Ứng dụng không được gỡ cài đặt hoặc thay thế ứng dụng khác hay lối tắt của những ứng dụng đó, trừ trường hợp đó là mục đích đã nêu của ứng dụng. Quá trình gỡ cài đặt phải rõ ràng và trọn vẹn. Ứng dụng không được bắt chước lời nhắc của hệ điều hành của thiết bị hay của các ứng dụng khác.

Ứng dụng phân phối qua Google Play phải tuân thủ Chính sách chương trình dành cho nhà phát triểnThoả thuận phân phối dành cho nhà phát triển. Những chính sách và thoả thuận này sẽ có các yêu cầu bổ sung.

Nếu là người dùng Search Console và đang gặp các vấn đề bảo mật kéo dài liên tục hoặc không thể khắc phục trên trang web của mình, bạn có thể cho chúng tôi biết.

Báo cáo vấn đề bảo mật