Malware e software indesiderato

Google controlla i siti web per vedere se ospitano software o file eseguibili scaricabili che influiscono negativamente sull'esperienza utente. I malware e i software indesiderati sono programmi binari scaricabili o applicazioni che vengono eseguiti su un sito web e influenzano l'esperienza dei suoi visitatori. Nel rapporto Problemi di sicurezza, puoi consultare un elenco dei file potenzialmente sospetti ospitati sul tuo sito.

Cos'è un malware?

I malware sono software o applicazioni per dispositivi mobili pensati appositamente per danneggiare un computer, un dispositivo mobile, il software in esecuzione o gli utenti. I comportamenti dei malware includono l'installazione di software senza il consenso dell'utente e l'installazione di software dannoso, come i virus. I proprietari di siti web a volte non si rendono conto che i loro file scaricabili vengono considerati malware, quindi potrebbero ospitare questi programmi binari in modo involontario.

Che cos'è il software indesiderato?

Il software indesiderato è un file eseguibile o un'applicazione per dispositivi mobili dai comportamenti ingannevoli e imprevisti o che influisce negativamente sulla navigazione e sull'utilizzo del computer da parte dell'utente. Alcuni esempi includono software che sostituisce la tua home page o le impostazioni del browser con altre impostazioni indesiderate o app che rendono pubbliche informazioni personali e private senza un'opportuna informativa.

Per scoprire di più su come Google contribuisce a proteggere gli utenti dal software indesiderato, consulta il post relativo ai download indesiderati nel nostro blog Google Online Security.

Linee guida

Assicurati di non violare le Norme relative al software indesiderato e segui le linee guida fornite qui. L'elenco non è esaustivo, ma questi comportamenti possono causare avvisi in app e siti web quando vengono visitati e all'esecuzione di download. Nel rapporto Problemi di sicurezza, puoi consultare un elenco dei file potenzialmente sospetti ospitati sul tuo sito.

Non rilasciare dichiarazioni errate

  • Comunica con precisione agli utenti la finalità e l'intento di un programma software. Gli utenti devono scaricare il software volontariamente e sapere esattamente quali file saranno inclusi nel download. A tale scopo, dovrebbero poter fare clic su un annuncio preciso che comunica gli elementi che verranno scaricati. Gli annunci che rimandano l'utente al download non devono essere ingannevoli o imprecisi, ad esempio:
    • Un annuncio contenente soltanto le parole "Scarica" o "Riproduci" senza identificare il software pubblicizzato.
    • Un pulsante "Riproduci" che rimanda a un download.
    • Un annuncio che, riprendendo l'aspetto del sito web del publisher, finge di offrire contenuti (ad esempio un film), ma rimanda invece a software non correlato.
    • Leggi informazioni sull'ingegneria sociale nel Google Security Blog.
  • Il comportamento dei programmi deve corrispondere a quello pubblicizzato. La funzionalità e gli scopi del programma devono essere chiari. Se il tuo programma raccoglie dati utente o inserisce annunci nel browser di un utente, spiega tali comportamenti con un linguaggio chiaro e dai a questa funzionalità il giusto peso.
  • Spiega in modo chiaro e dettagliato all'utente quali modifiche verranno apportate al browser e al sistema dal tuo software. Consenti agli utenti di esaminare e approvare tutte le modifiche e le opzioni di installazione più importanti. L'interfaccia utente principale del tuo programma deve mostrare chiaramente i componenti del programma binario e le relative funzionalità principali. Il programma binario dovrebbe offrire all'utente un modo semplice per evitare l'installazione dei componenti integrati. Ad esempio, non è buona pratica nascondere queste opzioni o utilizzare un testo appena visibile.
  • Utilizza le approvazioni solo se disponi della relativa autorizzazione. Non utilizzare i loghi di altre aziende senza autorizzazione per legittimare o approvare un prodotto. Non utilizzare loghi di enti statali senza autorizzazione.
  • Non spaventare l'utente. Un programma software non deve fornire all'utente false comunicazioni in merito allo stato del suo computer, ad esempio sostenendo che il sistema non è protetto o è infettato da virus. Non deve inoltre dichiarare di fornire un servizio (ad esempio "velocizzare il tuo PC") che invece non fornisce o non è in grado di fornire. Ad esempio, è vietato pubblicizzare strumenti per la pulizia e l'ottimizzazione dei computer come "gratuiti" se i servizi e i componenti pubblicizzati richiedono un pagamento.

Linee guida per il software

  • Utilizza l'API Google Settings se il tuo programma cambia le impostazioni di Chrome. Eventuali modifiche alla pagina Nuova scheda, alla pagina iniziale o alle impostazioni di ricerca predefinite dell'utente devono essere apportate utilizzando l'API Chrome Settings Override, che richiede l'utilizzo di un'estensione di Chrome e di un flusso di installazione delle estensioni conforme.
  • Consenti la visualizzazione degli avvisi previsti per gli utenti nelle finestre di dialogo del browser e del sistema operativo. Non eliminare gli avvisi per gli utenti dal browser o dal sistema operativo, in particolare quelli che informano gli utenti di modifiche al browser o al sistema operativo.
  • Ti consigliamo di firmare il tuo codice. I programmi binari privi di firma non vengono considerati software indesiderato, ma ti consigliamo di aggiungere comunque al tuo programma una firma di codice valida e verificata, fornita da un'autorità di firma del codice, che includa informazioni sul publisher verificabili.
  • Non ridurre le misure di sicurezza e protezione delle connessioni TLS/SSL. Un'applicazione non può installare un certificato radice dell'autorità di certificazione e non può intercettare le connessioni SSL/TLS, a meno che siano ideate per il debug o il controllo di software da parte di esperti. Per maggiori dettagli, leggi il post correlato nel Google Security Blog.
  • Proteggi i dati utente. I software, comprese le app per dispositivi mobili, devono trasmettere ai server solo dati utente privati esclusivamente in relazione alla funzionalità dell'app e queste trasmissioni devono essere dichiarate all'utente e opportunamente crittografate.
  • Non causare danni. Il tuo programma binario deve rispettare l'esperienza di navigazione dell'utente e non danneggiarla. Assicurati che i tuoi programmi binari scaricabili rispettino le seguenti norme comuni:
    • Non interrompere la funzionalità di ripristino del browser. Leggi informazioni sul pulsante di ripristino delle impostazioni del browser in Chrome.
    • Non aggirare o eliminare il controllo interfaccia utente del browser o del sistema operativo per le modifiche alle impostazioni. Il tuo programma deve fornire agli utenti adeguate comunicazioni e la possibilità di gestire le modifiche alle impostazioni che si verificano nel browser. Utilizza l'API Settings per modificare le impostazioni di Chrome (consulta questo post nel blog di Chromium).
    • Utilizza un'estensione per modificare la funzionalità di Google Chrome anziché modificare il comportamento del browser tramite altri mezzi programmatici. Ad esempio, il tuo programma non deve utilizzare librerie DLL (Dynamically Linked Library) per inserire annunci nel browser, non deve eseguire il deployment di proxy che intercettano il traffico e non deve utilizzare un LSP (Layered Service Provider) per intercettare le azioni degli utenti, né inserire una nuova interfaccia utente in ogni pagina web applicando patch al programma binario di Chrome.
    • Le descrizioni del prodotto e dei componenti non devono instillare falsi timori negli utenti e/o contenere dichiarazioni false e fuorvianti. Ad esempio, il tuo prodotto non deve includere false dichiarazioni in merito allo stato del sistema, ad esempio sostenendo che il sistema non è protetto o è infettato da virus. I programmi come quelli che ripuliscono il Registro di sistema non devono mostrare messaggi allarmanti sullo stato del computer o del dispositivo di un utente e affermare che sono in grado di ottimizzare il computer.
    • Rendi il processo di disinstallazione rintracciabile, semplice e sicuro. Il tuo programma deve includere istruzioni chiare per il ripristino delle impostazioni precedenti del browser e/o del sistema. Il programma di disinstallazione deve rimuovere tutti i componenti e non dissuadere l'utente dal completare il processo, ad esempio suggerendo la possibilità di ripercussioni negative sulla privacy o sul sistema dell'utente qualora il software venisse disinstallato.
  • Assicura la conformità dei componenti. È tua responsabilità garantire che nessuno dei componenti eventualmente integrati nel tuo software violi le indicazioni precedenti.

Linee guida per le estensioni di Chrome

  • Per essere conformi alle norme, tutte le estensioni devono essere dichiarate in modo esplicito ed essere installate in Chrome. Le estensioni devono essere ospitate nel Chrome Web Store, essere disattivate per impostazione predefinita ed essere conformi alle norme del Chrome Web Store (inclusa la norma relativa alla finalità singola). Per le estensioni installate da un programma è necessario utilizzare il flusso di installazione autorizzato delle estensioni di Chrome, che richiede all'utente di attivarle in Chrome. Le estensioni non possono rimuovere le finestre di dialogo di Chrome che avvisano gli utenti di eventuali modifiche alle impostazioni.
    Popup di Chrome che richiede l'approvazione per installare un'estensione.
  • Spiega agli utenti come rimuovere un'estensione di Chrome. Per garantire un'esperienza di disinstallazione positiva, fai in modo che vengano rimossi anche tutti gli elementi installati insieme al programma. Il flusso di disinstallazione deve includere istruzioni che spieghino agli utenti come disattivare ed eliminare autonomamente le estensioni.
  • Se il programma binario installa un componente aggiuntivo del browser o modifica le impostazioni predefinite di quest'ultimo, deve essere conforme all'API e al flusso di installazione supportato dal browser. Ad esempio, se il programma binario installa un'estensione di Chrome, l'estensione deve essere ospitata sul Chrome Web Store e rispettare le Norme del programma per gli sviluppatori di Chrome. Se installa un'estensione di Chrome che vìola le norme relative alle opzioni di distribuzione alternative di un'estensione di Chrome, il programma binario viene identificato come malware.

Linee guida relative alle applicazioni per dispositivi mobili

  • Informa gli utenti di avere intenzione di raccogliere i loro dati. Fornisci agli utenti la possibilità di acconsentire alla raccolta dei loro dati prima di iniziare a raccoglierli e inviarli dal dispositivo; questo vale anche per dati relativi ad account di terze parti, indirizzo email, numero di telefono, app installate e file sul dispositivo mobile. I dati utente personali o sensibili raccolti devono essere gestiti in modo sicuro, inclusa la trasmissione usando moderni protocolli di crittografia (ad esempio, tramite HTTPS). Per le app non Google Play, devi informare l'utente della raccolta di dati all'interno dell'app. Per le app Google Play, tale comunicazione deve rispettare le norme di Google Play. Non raccogliere dati che esulano dall'uso dichiarato della tua applicazione.

  • Non assumere l'identità di un altro brand o un'altra app. Non utilizzare in modo improprio o non autorizzato immagini o design simili a quelli di altri brand o app in un modo che possa confondere l'utente.
  • Mantieni tutti i contenuti nel contesto dell'app. Le app non devono interferire con altre app e con l'usabilità del dispositivo. Le app non devono mostrare all'utente annunci o altri contenuti esterni al contesto o alla funzione dell'app in sé, senza il preventivo consenso informato dell'utente e senza includere una chiara attribuzione dell'origine degli annunci ovunque vengano pubblicati.
  • L'app deve rispettare le promesse fatte all'utente. Tutte le funzionalità pubblicizzate devono essere a disposizione dell'utente nell'app. Le app possono aggiornare i propri contenuti, ma non devono scaricare altre app senza il preventivo consenso informato dell'utente.
  • Mantieni un comportamento trasparente. Le app non devono disinstallare né sostituire altre app o relative scorciatoie, a meno che questo non sia il loro scopo dichiarato. La disinstallazione deve essere chiara e completa. Le app non devono imitare le richieste del sistema operativo del dispositivo o di altre app.

Le app distribuite tramite Google Play devono essere conformi alle Norme del programma per gli sviluppatori e al Contratto di distribuzione per gli sviluppatori, che includono requisiti ulteriori.

Risolvere il problema

Assicurati che il tuo sito o applicazione rispettino le linee guida, quindi richiedi una verifica nel rapporto Problemi di sicurezza.

Se la tua applicazione per dispositivi mobili mostra avvisi, consulta questo articolo per informazioni sulla verifica app e sui ricorsi.