恶意软件和垃圾软件
Google 会检查网站上是否托管了会损害用户体验的软件或可下载可执行文件。恶意软件和垃圾软件是指在网站上运行且会对网站访问者产生不良影响的可下载二进制文件或应用。您可在“安全问题”报告中查看您网站上托管的所有可疑文件的列表。
什么是恶意软件?
恶意软件是指符合以下特征的所有软件或移动应用:蓄意危害计算机、移动设备、计算机/移动设备上运行的软件或计算机/移动设备用户。恶意软件会表现出各种恶意行为,其中包括:未经用户同意就擅自安装软件,以及安装病毒等有害软件。有时网站所有者并未意识到其网站上的可下载文件会被视为恶意软件,因此在无意中托管了此类二进制文件。
- 如需详细了解 Google 如何保护用户免遭恶意下载内容的侵扰,请参阅 Google 在线安全博客中的保护用户免遭恶意下载内容的侵扰一文。
- 如需了解我们针对网络安全软件制定的标准,请参阅我们的垃圾软件政策。
什么是垃圾软件?
垃圾软件是指会出现以下行为的可执行文件或移动应用:具有欺骗性/意外性,或者会对用户的浏览/计算体验造成负面影响。例如,有些垃圾软件会擅自更改浏览器的主页或其他设置,或在没有适当披露的情况下泄露隐私和个人信息。
若要详细了解 Google 如何保护用户免遭垃圾软件的侵扰,请参阅 Google 在线安全博客中的这不是您需要的下载内容…一文。
如何解决上述问题
请先确保您的网站或应用符合相应指南,然后即可在“安全问题”报告中提交审核请求。
如果您的移动应用显示了警告消息,请提出申诉。
指南
请勿违反垃圾软件政策,并遵循下述指南。虽然该列表并不全面,但其中所列的不良行为可能会导致应用和网站在用户进行下载和访问时显示警告。您可在“安全问题”报告中查看您网站上托管的所有可疑文件的列表。
不得进行不实陈述
- 将软件的用途和用意如实告知用户。用户必须能够有意下载软件,并能够通过点击明确告知用户将会下载什么内容的如实陈述广告准确了解将会下载什么内容。吸引用户下载的广告不得具有欺骗性或者出现不准确的内容,例如:
- 仅包含“下载”或“播放”字样,但是没有标明所宣传软件的广告。
- 点击后会转到下载操作的“播放”按钮。
- 模仿发布商网站的外观和风格、假装提供内容(例如影片)但却转向不相关软件的广告。
- 阅读我们的在线安全博客中关于社会工程学的内容。
- 行为和广告宣传的一致。确保程序清晰地说明其功能和意图。如果程序会收集用户数据或向用户的浏览器投放广告,则需要用清晰的语言描述这些行为,请勿将其描述为无关紧要的功能。
- 向用户明确说明软件会对浏览器和系统进行哪些更改。使用户能够审核和批准所有重要的安装选项和更改。程序的主界面必须明确说明二进制文件的组件及其主要功能。二进制文件必须为用户提供轻松跳过捆绑式组件安装的方式。例如,隐藏这些选项或使用几乎看不清的文字就不是好的披露做法。
- 仅在获得授权后使用认可信息。请勿在未经授权的情况下使用其他公司的徽标为产品提供合法证明或认可。请勿在未经授权的情况下使用政府徽标。
- 请勿引起用户恐慌。软件不得向用户虚假陈述用户设备的状态,例如声称系统存在严重的安全问题或受到病毒感染。软件不得宣称会提供实际上不会提供/无法提供的服务(例如“加快电脑的运行速度”)。例如,计算机清理工具和优化工具不得宣称为“免费”产品,除非所宣传的服务和组件不需要付费。
软件指南
- 如果您的程序会更改 Chrome 设置,请使用 Google Settings API。 如果要对用户的默认搜索设置、启动页或新标签页进行任何更改,则必须通过 Chrome Settings Override API 执行,该 API 需要使用 Chrome 扩展程序,并采用符合规范的扩展程序安装流程。
- 允许浏览器和操作系统以对话框的形式如实提醒用户。 请勿禁止浏览器或操作系统向用户发出提醒,尤其是告知用户浏览器或操作系统发生更改的提醒。
- 建议您对代码进行签名。虽然我们不会因为二进制文件未经签名而将其标记为垃圾软件,但我们建议程序拥有由代码签名机构(提供可验证的发布商信息)签发、经过验证且有效的代码签名。
- 请勿降低 TLS/SSL 连接提供的安全和保护措施的级别。应用不得安装根证书授权机构证书。除非为了让专家能调试或调查软件,否则应用不得拦截 SSL/TLS 连接。有关详情,请参阅相关的 Google 安全博文。
- 保护用户数据。软件(包括移动应用)必须仅在用户私密数据与应用功能相关时才将其传输至服务器,而且此类传输必须既让用户知情又采用加密的方式进行。
- 安全无害。二进制文件必须充分考虑到用户的浏览体验,不能对其产生不良影响。确保可下载二进制文件符合以下通用政策:
- 不得使浏览器的重置功能失效。了解 Chrome 中的重置浏览器设置按钮。
- 不得绕过或禁用浏览器或操作系统的界面控件来更改设置。对于发生在浏览器中的设置更改,程序必须向用户提供适当的通知和控制项。使用 Settings API 更改 Chrome 设置(请参阅这篇 Chromium 博文,了解如何使用新的 Settings API 保护 Windows 上的用户设置)。
- 使用扩展程序更改 Google Chrome 的功能,而非通过其他程序化方式更改浏览器的行为。例如,程序不得使用 DLL(动态链接库)在浏览器中投放广告,不得部署会拦截流量的代理服务器,不得使用分层服务提供程序拦截用户操作,也不得通过为 Chrome 二进制文件打补丁的方式将新界面插入到每个网页。
- 产品和组件说明不得让用户感到恐慌,并且/或不得包含虚假声明或误导性声明。例如,产品不得虚假声明系统存在严重安全问题或受到病毒感染。注册表清理工具之类的程序不得显示有关用户计算机/设备状态的警告消息,也不得声称可以优化用户的电脑。
- 卸载流程应容易找到、步骤简单且没有威胁性。 程序必须提供标识清晰的说明,使用户能够将浏览器和/或系统还原为原来的设置。卸载程序必须移除所有组件,不得让用户望而却步,不敢继续卸载,例如声称软件卸载后可能会对用户的系统或隐私造成负面影响。
- 确保所有捆绑组件均符合规定。如果您的软件捆绑了其他软件组件,那么您要负责确保这些组件不会违反任何建议。
Chrome 扩展程序指南
-
所有扩展程序都需要根据相关政策的规定进行披露并安装在 Chrome 中。
扩展程序必须托管在 Chrome 应用商店中,且默认处于停用状态,并遵守 Chrome 应用商店的各项政策(包括单一用途政策)。通过程序安装的扩展程序必须采用经过授权的 Chrome 扩展程序安装流程,该流程将提示用户在 Chrome 中启用这些扩展程序。扩展程序不得禁止 Chrome 通过对话框向用户发出关于设置更改的提醒。
- 指导用户如何移除 Chrome 扩展程序。当用户卸载程序时,如果能够同时卸载与该程序一起安装的所有组件,对用户来说就是良好的体验。卸载流程包括旨在指导用户如何自行停用和删除扩展程序的说明。
-
如果二进制文件要安装浏览器插件或要更改默认浏览器设置,则必须采用浏览器所支持的安装流程和 API。例如,如果二进制文件要安装某款 Chrome 扩展程序,那么该扩展程序必须托管在 Chrome 应用商店中,并遵守 Chrome 的开发者计划政策。如果在违反 Chrome 备选扩展程序分发选项政策的情况下安装 Chrome 扩展程序,二进制文件就会被标识为恶意软件。
- 若要了解静默安装,请参阅 Chromium 博客和我们的在线安全博客。
- 了解如何在 Chrome 应用商店中发布扩展程序。
移动应用指南
-
将您收集用户数据的用意告知用户。在您开始收集用户数据(包括第三方账号、电子邮件地址、手机号码、已安装的应用和移动设备上文件的相关数据)并从设备发送数据之前,请先征得用户的同意。请务必安全地处理所收集的任何个人或敏感用户数据,包括使用新型加密技术(例如通过 HTTPS)传输此类数据。对于非 Play 应用,必须在应用中将数据收集事宜披露给用户。对于 Google Play 应用,必须按照 Play 政策向用户披露。所收集的数据不得超出应用已发布的用途。
- 不得假冒其他品牌或应用。请勿以不当或未经授权的方式,使用与其他品牌或应用类似而可能会让用户产生误解的图像或设计。
- 确保所有内容都处在应用的情境内。应用不得干扰其他应用及设备的易用性。在未征得用户知情同意以及未在展示广告的所有位置明确注明广告来源的情况下,应用不得向用户展示与应用本身的情境或功能不符的广告或其他内容。
- 应用必须兑现向用户做出的承诺。应用必须向用户提供所宣传的每项功能。应用可以更新应用内容,但不得在未经用户同意的情况下下载其他应用。
- 确保行为透明。应用不得卸载或替换其他应用或其快捷方式,除非这就是应用所宣称的用途。应用的卸载流程必须清晰完整。应用不得模拟设备操作系统或其他应用的提示。
通过 Google Play 分发的应用必须遵循开发者计划政策和开发者分发协议,这些协议另有其他要求。
If you're a Search Console user and are having trouble with persistent or unfixable security issues on your site, you can let us know.