Indicazioni per gli sviluppatori relative agli avvisi di Google Play Protect

Google Play Protect offre una protezione integrata e proattiva contro malware e software indesiderati per contribuire a proteggere i dispositivi e i dati degli utenti sui dispositivi Android con Google Play Services.

Questa pagina fornisce ulteriori informazioni su ciascuno dei vari avvisi di Play Protect che gli utenti potrebbero riscontrare, con indicazioni per gli sviluppatori per capire perché un'app è interessata da un avviso di Play Protect e alcune alternative o soluzioni comunemente utilizzate per risolvere un problema, prima di presentare un ricorso a Google Play Protect.

App bloccata per proteggere il tuo dispositivo

Prompt visualizzato: "Questa app può chiedere l'accesso a dati sensibili. Potrebbe aumentare il rischio di furto d'identità o frode finanziaria."

Dopo che l'utente seleziona un link di installazione, viene visualizzata una finestra di dialogo popup che spiega che l'app è bloccata.
Figura 1. Messaggio di Google Play Protect che viene visualizzato quando un'app viene bloccata durante la procedura di installazione.

Motivo di questa notifica: le applicazioni scaricate direttamente da fonti online come browser web, app di messaggistica o gestori di file sono comunemente chiamate fonti di sideloading da internet. Se queste applicazioni utilizzano anche autorizzazioni sensibili, come RECEIVE_SMS, READ_SMS, NOTIFICATION_LISTENER e ACCESSIBILITY, sono considerate applicazioni ad alto rischio perché queste autorizzazioni vengono spesso utilizzate in modo improprio per frodi finanziarie. Quando un utente tenta di installare un'applicazione da queste fonti e viene dichiarata una di queste autorizzazioni sensibili, Google Play Protect bloccherà automaticamente l'installazione. In secondo luogo, se si tenta di registrare i dispositivi nella gestione aziendale, verranno bloccate anche le app provenienti dalle stesse fonti di sideloading da internet con le stesse autorizzazioni sensibili.

Azioni consigliate per gli sviluppatori:

  • Assicurati che le applicazioni rispettino le linee guida per gli sviluppatori e le best practice.
  • Assicurati che le API e le autorizzazioni vengano utilizzate per gli scopi previsti.
  • Assicurati che la tua applicazione utilizzi solo le autorizzazioni minime necessarie per svolgere le funzioni richieste della tua applicazione.
  • Assicurati che la tua applicazione rispetti le linee guida responsabili per la privacy e la sicurezza.
  • Utilizza le API SMS Retriever o User Consent anziché l'autorizzazione READ_SMS quando esegui una procedura di verifica basata su SMS.
  • Esempi comuni (non esaustivi) di casi d'uso delle autorizzazioni:
    • Esempi di SMS:
      • Consentito:
        • App il cui scopo principale è gestire contenuti SMS / MMS.
        • App che eseguono il backup dei contenuti degli SMS dopo l'informativa ben visibile e il consenso dell'utente.
      • Non consentito:
        • App che accedono o inviano contenuti SMS senza il consenso esplicito dell'utente.
        • App che richiedono le autorizzazioni SMS al solo scopo di convalidare la verifica basata su SMS. Utilizza invece le API SMS Retriever o User Consent consentite.
    • Esempi di Bind Notification Listener:
      • Consentito:
        • App per la salute e il fitness che inoltrano le notifiche ai rispettivi dispositivi hardware indossabili.
        • App che aggregano le notifiche per aiutare gli utenti a concentrarsi.
        • App che mostrano notifiche su interfacce utente alternative, ad esempio utilizzando widget o launcher.
      • Non consentito:
        • App che accedono ai contenuti delle notifiche senza il consenso esplicito dell'utente.
        • App che nascondono o impediscono le notifiche di altre app senza il preventivo consenso dell'utente.
    • Esempi di accessibilità:
      • Consentito:
        • App assistive che aumentano l'usabilità di un dispositivo per gli utenti con disabilità visiva.
        • App di utilità per la lettura dello schermo che supportano la traduzione del testo con il consenso dell'utente.
      • Non consentito:
        • App che interagiscono con altre app o con il dispositivo dell'utente in qualsiasi modo senza il consenso esplicito dell'utente.
        • App utilizzate per estrarre le credenziali dell'utente.

Dopo aver verificato che la tua app è in linea con le linee guida precedenti (inclusi i principi relativi al software mobile indesiderato e l'applicazione potenzialmente dannosa come definita da Google Play Protect), se ritieni ancora che la tua app sia bloccata erroneamente, puoi richiedere un ricorso.

App dannosa bloccata

Una finestra di dialogo popup che spiega perché l'app è bloccata, insieme a un link "Ok"
Figura 2. Messaggio visualizzato quando un'app dannosa viene bloccata.

Prompt visualizzati:i dettagli variano in base alla violazione a seconda del tipo di malware o software mobile indesiderato rilevato.

Motivo della notifica: l'ecosistema Android deve essere privo di comportamenti dannosi. L'applicazione è stata identificata come applicazione potenzialmente dannosa e rientra in una categoria di malware o in una categoria di software mobile indesiderato.

Azioni consigliate per gli sviluppatori:

  • Verifica che la tua applicazione rispetti le linee guida per gli sviluppatori e le best practice.
  • Verifica che le API e le autorizzazioni vengano utilizzate per gli scopi previsti e non travisino lo scopo dell'accesso alle API. Ad esempio, non dichiarare isAccessbilityTool="true" quando la tua app non è uno strumento di accessibilità.
  • Assicurati che la tua applicazione utilizzi solo le autorizzazioni minime necessarie per svolgere le funzioni richieste della tua applicazione.
  • Conferma che la tua applicazione rispetta le linee guida responsabili per la privacy e la sicurezza.
  • Verifica che la tua applicazione e gli SDK utilizzati siano privi di codice dannoso e problemi di sicurezza che mettono a rischio gli utenti.
  • Dopo aver esaminato queste linee guida, se concludi che la tua applicazione non è un'applicazione potenzialmente dannosa come definita da Google Play Protect e rispetta le norme relative al software indesiderato, le norme relative al software e le linee guida precedenti e continui a ricevere avvisi per errore, puoi richiedere un ricorso contro l'azione di Google Play Protect.
I due pulsanti della finestra di dialogo, dall'alto verso il basso, sono Scansiona app e Non installare app
Figura 3. La finestra di dialogo Analisi delle app consigliata mostrata da Google Play Protect.

Prompt visualizzato: "Play Protect non ha mai rilevato questa app prima d'ora. Per proteggere il tuo dispositivo e i tuoi dati, prima di installare l'app invia alcune informazioni sull'app a Google affinché venga analizzata."

Motivo di questa notifica: Google Play Protect esegue controlli di sicurezza al momento dell'installazione per proteggere gli utenti analizzando le app alla ricerca di codice dannoso e autorizzazioni sensibili da applicazioni sconosciute che vengono installate sul tuo dispositivo. Consentendo l'esecuzione di scansioni sull'applicazione, Play Protect può contribuire a ridurre la possibilità che vengano installate applicazioni dannose sul dispositivo di un utente.

Azioni consigliate per gli sviluppatori:

Avviso di compatibilità app per Android troppo bassa

Il pulsante nella finestra di dialogo è OK per confermare che l'SDK di destinazione è troppo basso
Figura 4. Un messaggio di Google Play Protect che comunica all'utente che l'app è stata progettata per una versione precedente di Android.

Prompt visualizzato: "Questa app è stata sviluppata per una versione precedente di Android e non include le protezioni della privacy più recenti"

Motivo di questa notifica: questi avvisi di Play Protect vengono visualizzati solo se il valore targetSdkVersion dell'app è inferiore di più di due versioni rispetto al livello API Android attuale. Ad esempio, un utente con un dispositivo con Android 13 (API attuale = 33) riceverà un avviso quando installa un APK che ha come target un livello API inferiore a 31. Le versioni di Android e i livelli API corrispondenti possono essere esaminati nella pagina del livello API.

Se un dispositivo è al di sotto dell'API target, non riceverà un avviso. Ogni nuova versione di Android introduce modifiche che apportano miglioramenti alla sicurezza e alle prestazioni e migliorano l'esperienza utente di Android. Alcune di queste modifiche si applicano solo alle app che dichiarano esplicitamente il supporto tramite l'attributo manifest targetSdkVersion (noto anche come livello API target). Se configuri la tua app in modo che abbia come target un livello API recente, ti assicuri che gli utenti possano beneficiare di questi miglioramenti, mentre la tua app può comunque essere eseguita su versioni precedenti di Android. Se scegli come target un livello API recente, la tua app può anche sfruttare le funzionalità più recenti della piattaforma per deliziare i tuoi utenti.

Azioni consigliate per gli sviluppatori:

Per garantire la compatibilità tra le versioni di Android, gli sviluppatori devono assicurarsi che le nuove versioni delle app abbiano come target il livello API più recente. Per consigli su come modificare il livello API target della tua app, consulta la guida alla migrazione.

Invia l'app per il controllo di sicurezza

I tre pulsanti nella finestra di dialogo, dall'alto verso il basso, sono Invia sempre app sconosciute, Invia questa volta e Non inviare.
Figura 5. Un prompt di Google Play Protect per inviare l'app per un controllo di sicurezza.

Prompt visualizzato: "Questa app è sconosciuta a Play Protect. Per proteggere te e gli altri, inviala a Google per un controllo di sicurezza."

Motivo di questa notifica:le applicazioni sconosciute possono rappresentare un rischio per gli utenti. Per gli utenti, l'invio (una tantum o sempre) di questa applicazione a Google Play Protect per la scansione alla ricerca di potenziali malware farà scomparire questa notifica. I ricorsi non sono pertinenti e non rimuoveranno questo messaggio.

Azioni consigliate per gli sviluppatori:

Ricorsi

Presentare ricorso per lo stato dell'app sul Play Store

Puoi presentare ricorso contro la rimozione della tua app dal Google Play Store. Reintegreremo le app nei casi opportuni, ad esempio se è stato commesso un errore e viene stabilito che la tua app non viola né le Norme del programma per gli sviluppatori di Google Play né il Contratto di distribuzione per gli sviluppatori di Google Play. Per saperne di più su come presentare ricorso contro una violazione delle norme, leggi l'articolo La mia app è stata rimossa da Google Play.

Presentare ricorso per lo stato di avviso di Play Protect

Puoi presentare ricorso contro lo stato di classificazione di Google Play Protect della tua app.

Prima di presentare un ricorso a Google Play Protect, ti invitiamo a utilizzare le indicazioni riportate sopra per capire perché un'app è interessata da un avviso di Play Protect e alcune alternative o soluzioni comunemente utilizzate per risolvere un problema.

Correggiamo la classificazione delle app nei casi opportuni, ad esempio se è stato commesso un errore e viene stabilito che la tua app non viola i principi relativi al software mobile indesiderato e non è un'applicazione potenzialmente dannosa, come definito da Google Play Protect.

Dopo aver verificato che la tua app sia in linea con le norme sopra indicate e se ritieni ancora che la tua app sia bloccata erroneamente, puoi presentare ricorso contro la classificazione facendo clic sul pulsante Presenta un ricorso per Play Protect di seguito:

Presentare un ricorso per Play Protect