הנחיות למפתחים לגבי אזהרות של Google Play Protect

‫Google Play Protect מציע הגנה מובנית ופרואקטיבית מפני תוכנות זדוניות ותוכנות לא רצויות, כדי לעזור לשמור על הבטיחות של המכשירים והנתונים של המשתמשים במכשירי Android עם Google Play Services.

בדף הזה יש מידע נוסף על כל אחת מהאזהרות השונות של Play Protect שמשתמשים עשויים להיתקל בהן. בנוסף, יש בו הנחיות למפתחים שיעזרו להם להבין למה אפליקציה מושפעת מאזהרה של Play Protect, וגם כמה פתרונות חלופיים או פתרונות נפוצים לפתרון בעיה, לפני שליחת ערעור ל-Google Play Protect.

האפליקציה נחסמה כדי להגן על המכשיר

ההודעה שמוצגת: "האפליקציה הזו יכולה לבקש גישה למידע אישי רגיש. הפעולה הזו יכולה להגביר את הסיכון לגניבת זהות או הונאה פיננסית".

אחרי שהמשתמש בוחר קישור להתקנה, מופיעה תיבת דו-שיח קופצת עם הסבר שהאפליקציה חסומה.
איור 1. הודעה של Google Play Protect שמופיעה כש אפליקציה נחסמת במהלך תהליך ההתקנה.

הסיבה להודעה הזו: אפליקציות שהורדו ישירות ממקורות באינטרנט, כמו דפדפני אינטרנט, אפליקציות להעברת הודעות או מנהלי קבצים, נקראות בדרך כלל מקורות להעברה צדדית באינטרנט. אם האפליקציות האלה משתמשות גם בהרשאות רגישות – RECEIVE_SMS, READ_SMS, NOTIFICATION_LISTENER ו-ACCESSIBILITY – הן נחשבות לאפליקציות בסיכון גבוה, כי הרשאות כאלה משמשות לעיתים קרובות להונאות פיננסיות. כשמשתמש מנסה להתקין אפליקציה מהמקורות האלה ומוצהרות בה הרשאות רגישות כלשהן, Google Play Protect חוסם את ההתקנה באופן אוטומטי. שנית, אם מנסים לרשום מכשירים לניהול ארגוני, ייחסמו גם אפליקציות מאותם מקורות של העברה צדדית באינטרנט עם אותן הרשאות רגישות.

פעולות מומלצות למפתחים:

  • חשוב לוודא שהאפליקציות פועלות בהתאם להנחיות למפתחים ולשיטות המומלצות.
  • חשוב לוודא שנעשה שימוש בממשקי API ובהרשאות למטרות שלשמן הם נועדו.
  • צריך לוודא שהאפליקציה משתמשת רק בהרשאות המינימליות שנדרשות לביצוע הפונקציות הנדרשות של האפליקציה.
  • חשוב לוודא שהאפליקציה פועלת בהתאם להנחיות האחראיות בנושא פרטיות ואבטחה.
  • כשמבצעים תהליך אימות שמבוסס על SMS, צריך להשתמש ב-SMS Retriever או ב-User Consent APIs במקום בהרשאה READ_SMS.
  • דוגמאות נפוצות (רשימה חלקית) לתרחישי שימוש בהרשאות:
    • דוגמאות ל-SMS:
      • הגישה מותרת:
        • אפליקציות שמטרתן העיקרית היא לטפל בתוכן של SMS או MMS.
        • אפליקציות שמגבות תוכן של הודעות SMS אחרי הצגת גילוי נאות במקום בולט וקבלת הסכמת המשתמש.
      • אסור:
        • אפליקציות ששולחות תוכן SMS או ניגשות אליו בלי הסכמה מפורשת מהמשתמש.
        • אפליקציות שמבקשות הרשאות ל-SMS רק כדי לאמת אימות מבוסס-SMS. (במקום זאת, צריך להשתמש ב-SMS Retriever או ב-User Consent APIs).
    • דוגמאות לקישור של מאזין להתראות:
      • הגישה מותרת:
        • אפליקציות בריאות וכושר שמעבירות התראות למכשירי חומרה לבישים שלהן.
        • אפליקציות שמקבצות התראות כדי לעזור למשתמשים להתמקד.
        • אפליקציות שמציגות התראות בממשקי משתמש חלופיים – למשל, באמצעות ווידג'טים או מרכזי אפליקציות.
      • אסור:
        • אפליקציות שניגשות לתוכן של התראות בלי הסכמה מפורשת מהמשתמש.
        • אפליקציות שמסתירות או מונעות התראות מאפליקציות אחרות בלי לקבל הסכמה מראש מהמשתמש.
    • דוגמאות לנגישות:
      • הגישה מותרת:
        • אפליקציות נגישות שמשפרות את השימושיות של מכשיר עבור משתמשים עם ליקויי ראייה.
        • אפליקציות לקריאת מסך שתומכות בתרגום טקסט בהסכמת המשתמש.
      • אסור:
        • אפליקציות שיוצרות אינטראקציה עם אפליקציות אחרות או עם המכשיר של המשתמש בכל דרך שהיא ללא הסכמה מפורשת של המשתמש.
        • אפליקציות שמשמשות לחילוץ פרטי כניסה מהמשתמש.

אחרי שתוודאו שהאפליקציה שלכם עומדת בהנחיות שלמעלה (כולל העקרונות בנושא תוכנה לא רצויה לנייד ואפליקציה שעלולה להזיק כפי שהוגדרו על ידי Google Play Protect), אם לדעתכם האפליקציה עדיין נחסמת בטעות, תוכלו לשלוח בקשת ערעור.

האפליקציה המזיקה נחסמה

חלון קופץ עם הסבר למה האפליקציה נחסמה וקישור 'הבנתי'
איור 2. ההודעה שמופיעה כשחוסמים אפליקציה מזיקה.

ההודעות שמוצגות: הפרטים משתנים בהתאם להפרה, בהתאם לסוג התוכנה הזדונית או התוכנה הלא רצויה לנייד שזוהתה.

הסיבה לשליחת ההתראה: בסביבה העסקית של Android אין מקום להתנהגות זדונית. זיהינו שהאפליקציה היא אפליקציה שעלולה להזיק והיא מתאימה לקטגוריה של תוכנות זדוניות או לקטגוריה של תוכנות לא רצויות לנייד.

פעולות מומלצות למפתחים:

  • מומלץ לוודא שהאפליקציה פועלת בהתאם להנחיות למפתחים ולשיטות המומלצות.
  • חשוב לוודא שממשקי ה-API וההרשאות משמשים למטרות שלשמן הם נועדו, ושמטרת הגישה ל-API לא מוצגת בצורה מטעה. לדוגמה, אל תצהירו על isAccessbilityTool="true" אם האפליקציה שלכם לא משמשת ככלי נגישות.
  • צריך לוודא שהאפליקציה משתמשת רק בהרשאות המינימליות שנדרשות לביצוע הפונקציות הנדרשות של האפליקציה.
  • מוודאים שהאפליקציה פועלת בהתאם להנחיות האחראיות בנושא פרטיות ואבטחה
  • צריך לוודא שהאפליקציה וכל ערכות ה-SDK שבה לא מכילות קוד זדוני ובעיות אבטחה שעלולות לסכן את המשתמשים.
  • אחרי שתעיינו בהנחיות האלה, אם תגיעו למסקנה שהאפליקציה שלכם לא מוגדרת כאפליקציה שעלולה להזיק לפי ההגדרה של Google Play Protect, שהיא עומדת בדרישות של מדיניות התוכנות הלא רצויות ומדיניות התוכנה, ושהיא עומדת בהנחיות שצוינו למעלה, אבל אתם עדיין מקבלים אזהרות בטעות, תוכלו לשלוח בקשת ערעור על הפעולה של Google Play Protect.
שני הכפתורים בתיבת הדו-שיח, מלמעלה למטה, הם 'סריקת האפליקציה' ו'לא להתקין את האפליקציה'.
איור 3. תיבת הדו-שיח מומלצת סריקת אפליקציות שמוצגת על ידי Google Play Protect.

ההודעה שמוצגת: "זאת הפעם הראשונה שהאפליקציה הזו מוצגת ל-Play Protect. כדי להגן על המכשיר והנתונים שלך, יש לשלוח פרטים מסוימים על האפליקציה ל-Google לסריקה לפני ההתקנה."

הסיבה להודעה הזו: שירות Google Play Protect מבצע בדיקות אבטחה בזמן ההתקנה כדי להגן על המשתמשים. הוא סורק אפליקציות כדי לזהות קוד זדוני והרשאות רגישות באפליקציות לא מוכרות שמותקנות במכשיר שלכם. הפעלת הסריקות באפליקציה מאפשרת ל-Play Protect לצמצם את הסיכוי שאפליקציות מזיקות יותקנו במכשיר של המשתמש.

פעולות מומלצות למפתחים:

אזהרה על רמת תאימות נמוכה מדי של אפליקציות ל-Android

הלחצן בתיבת הדו-שיח הוא אישור לכך שערכת ה-SDK של היעד נמוכה מדי
איור 4. הודעה מ-Google Play Protect שמיידעת את המשתמש שהאפליקציה תוכננה לגרסה ישנה יותר של Android.

ההודעה שמוצגת: "האפליקציה הזו תוכננה לגרסה ישנה יותר של Android והיא לא כוללת את אמצעי ההגנה העדכניים על הפרטיות"

הסיבה להודעה הזו: האזהרות האלה של Play Protect יוצגו רק אם targetSdkVersion של האפליקציה נמוך ביותר מ-2 גרסאות מרמת ה-API הנוכחית של Android. לדוגמה, משתמש עם מכשיר שפועלת בו מערכת Android 13 (רמת ה-API הנוכחית היא 33) יקבל אזהרה כשיתקין APK שמטרגט לרמת API נמוכה מ-31. אפשר לעיין בגרסאות Android וברמות ה-API התואמות בדף רמת ה-API.

אם מכשיר מסוים לא עומד בדרישות של ה-API, לא תוצג אזהרה. בכל גרסה חדשה של Android מוצגים שינויים שמשפרים את האבטחה והביצועים ומשדרגים את חוויית המשתמש ב-Android. חלק מהשינויים האלה חלים רק על אפליקציות שמוצהרת בהן תמיכה באופן מפורש באמצעות מאפיין המניפסט targetSdkVersion (שנקרא גם רמת ה-API המטורגטת). הגדרת האפליקציה לטירגוט רמת API עדכנית מבטיחה שהמשתמשים יוכלו ליהנות מהשיפורים האלה, ושהאפליקציה עדיין תוכל לפעול בגרסאות Android ישנות יותר. טירגוט של רמת API עדכנית מאפשר לאפליקציה שלכם לנצל את התכונות האחרונות של הפלטפורמה כדי לשמח את המשתמשים.

פעולות מומלצות למפתחים:

כדי להבטיח תאימות בין גרסאות Android, מפתחים צריכים לוודא שגרסאות חדשות של אפליקציות יטרגטו את רמת ה-API העדכנית ביותר. במדריך להעברת נתונים יש עצות בנושא שינוי רמת ה-API לטירגוט באפליקציה.

שליחת האפליקציה לבדיקת אבטחה

שלושת הלחצנים בתיבת הדו-שיח, מלמעלה למטה, הם 'תמיד לשלוח אפליקציות לא מוכרות', 'לשלוח הפעם' ו'לא לשלוח'.
איור 5. הודעה מ-Google Play Protect לשליחת האפליקציה לבדיקת אבטחה.

ההודעה שמוצגת: "האפליקציה הזו לא מוכרת ל-Play Protect. כדי להגן על עצמך ועל אחרים, יש לשלוח אותה ל-Google לבדיקת אבטחה".

הסיבה להודעה הזו: אפליקציות לא מוכרות עלולות לסכן את המשתמשים. כדי שההתראה הזו תיעלם, המשתמשים צריכים לשלוח את האפליקציה הזו ל-Google Play Protect (פעם אחת או תמיד) כדי לסרוק אותה לאיתור תוכנות זדוניות פוטנציאליות. ערעורים לא רלוונטיים ולא יסירו את ההודעה הזו.

פעולות מומלצות למפתחים:

  • בודקים את סטטוס האישור של המכשיר.
  • כדי שהדו-שיח הזה לא יוצג למשתמשים, צריך לוודא ש-Google Play Protect מודע לאפליקציה שלכם.

ערעורים

ערעור על סטטוס האפליקציה בחנות Play

אתם יכולים לערער על ההסרה של האפליקציה מחנות Google Play. נחזיר אפליקציות לחנות בנסיבות המתאימות, כולל אם נפלה טעות ונמצא שהאפליקציה לא מפרה את מדיניות התוכנית למפתחים של Google Play ואת הסכם ההפצה למפתחים של Play. מידע נוסף על ערעור בנושא הפרת מדיניות זמין במאמר האפליקציה שלי הוסרה מ-Google Play.

ערעור על סטטוס האזהרה של Play Protect

אתם יכולים לערער על סטטוס הסיווג של האפליקציה ב-Google Play Protect.

לפני ששולחים ערעור ל-Google Play Protect, מומלץ לקרוא את ההנחיות שלמעלה כדי להבין למה אפליקציה מושפעת מאזהרה של Play Protect, ולבדוק פתרונות חלופיים או פתרונות נפוצים לפתרון בעיה.

בנסיבות המתאימות, נתקן את הסיווג של האפליקציות, כולל אם נעשתה טעות וגילינו שהאפליקציה שלך לא מפירה את העקרונות של תוכנה לא רצויה לנייד ושהיא לא אפליקציה שעלולה לגרום נזק, כפי שמוגדר ב-Google Play Protect.

אחרי שמוודאים שהאפליקציה עומדת בדרישות המדיניות שלמעלה, ואם עדיין חושבים שהאפליקציה נחסמה בטעות, אפשר לערער על הסיווג. לשם כך, לוחצים על הלחצן שליחת ערעור בנושא Play Protect שלמטה:

שליחת ערעור על Play Protect