มัลแวร์และซอฟต์แวร์ไม่พึงประสงค์

Google ตรวจสอบเว็บไซต์ต่างๆ เพื่อดูว่ามีการโฮสต์ซอฟต์แวร์หรือไฟล์ดำเนินการที่ดาวน์โหลดได้ซึ่งส่งผลในทางลบต่อประสบการณ์ของผู้ใช้หรือไม่ มัลแวร์และซอฟต์แวร์ไม่พึงประสงค์เป็นได้ทั้งไบนารีที่ดาวน์โหลดได้หรือแอปพลิเคชันซึ่งทำงานในเว็บไซต์และส่งผลต่อผู้เข้าชมเว็บไซต์ ดูรายชื่อไฟล์ที่น่าสงสัยซึ่งโฮสต์อยู่ในเว็บไซต์ของคุณได้ในรายงานปัญหาด้านความปลอดภัย

มัลแวร์คืออะไร

มัลแวร์คือซอฟต์แวร์หรือแอปพลิเคชันบนอุปกรณ์เคลื่อนที่ ซึ่งออกแบบมาเพื่อสร้างความเสียหายแก่คอมพิวเตอร์ อุปกรณ์เคลื่อนที่ ซอฟต์แวร์ที่ทำงานอยู่ หรือผู้ใช้ซอฟต์แวร์นั้นๆ มัลแวร์มีลักษณะการทำงานที่เป็นอันตราย ซึ่งอาจรวมถึงการติดตั้งซอฟต์แวร์โดยไม่ได้รับความยินยอมจากผู้ใช้ และการติดตั้งซอฟต์แวร์ที่เป็นอันตรายอย่างไวรัส เจ้าของเว็บไซต์อาจไม่ทราบว่าไฟล์ที่ดาวน์โหลดได้ของตนนั้นเป็นมัลแวร์ จึงอาจโฮสต์ไฟล์ไบนารีเหล่านั้นโดยไม่เจตนา

ซอฟต์แวร์ไม่พึงประสงค์คืออะไร

ซอฟต์แวร์ไม่พึงประสงค์คือไฟล์ที่ดำเนินการได้หรือแอปพลิเคชันบนอุปกรณ์เคลื่อนที่ซึ่งมีลักษณะการทำงานที่หลอกลวง ไม่พึงประสงค์ หรือมีผลในแง่ลบต่อประสบการณ์การท่องเว็บหรือการใช้คอมพิวเตอร์ของผู้ใช้ ตัวอย่างเช่น ซอฟต์แวร์ที่เปลี่ยนหน้าแรกหรือการตั้งค่าเบราว์เซอร์เป็นแบบอื่นที่คุณไม่ต้องการ หรือแอปที่ทำให้ข้อมูลส่วนบุคคลรั่วไหลโดยไม่เปิดเผยการทำงานของตัวเองอย่างเหมาะสม

ดูข้อมูลเพิ่มเติมเกี่ยวกับวิธีที่ Google ช่วยปกป้องผู้ใช้จากซอฟต์แวร์ไม่พึงประสงค์ได้ที่บทความนั่นไม่ใช่การดาวน์โหลดที่คุณต้องการ... ในบล็อกการรักษาความปลอดภัยออนไลน์ของ Google

หลักเกณฑ์

ตรวจสอบว่าคุณไม่ได้ละเมิดนโยบายซอฟต์แวร์ไม่พึงประสงค์และปฏิบัติตามหลักเกณฑ์ที่ให้ไว้ ณ ที่นี้ แม้ว่ารายการนี้จะไม่ครอบคลุมทั้งหมด แต่ลักษณะการทำงานเหล่านี้อาจทำให้แอปและเว็บไซต์ต่างๆ แสดงคำเตือนแก่ผู้ใช้เมื่อดาวน์โหลดและเข้าชม ดูรายชื่อไฟล์ที่น่าสงสัยซึ่งโฮสต์อยู่ในเว็บไซต์ของคุณได้ในรายงานปัญหาด้านความปลอดภัย

อย่าสื่อให้เข้าใจผิด

  • แจ้งผู้ใช้เกี่ยวกับวัตถุประสงค์และเจตนารมณ์ของซอฟต์แวร์อย่างถูกต้อง ผู้ใช้ต้องสามารถดาวน์โหลดซอฟต์แวร์ได้โดยเจตนาและทราบว่าจะมีการดาวน์โหลดอะไรอย่างถูกต้อง ด้วยการคลิกโฆษณาที่ถูกต้องซึ่งแจ้งผู้ใช้อย่างชัดเจนว่าจะมีการดาวน์โหลดอะไร โฆษณาที่นำผู้ใช้ไปยังการดาวน์โหลดต้องถูกต้องหรือไม่หลอกลวง เช่น
    • โฆษณาที่มีเฉพาะคำว่า "ดาวน์โหลด" หรือ "เล่น" โดยไม่ได้ระบุว่าต้องการโฆษณาซอฟต์แวร์ใด
    • ปุ่ม "เล่น" ที่นำไปยังการดาวน์โหลด
    • โฆษณาที่เลียนแบบรูปลักษณ์เว็บไซต์ของผู้เผยแพร่และแอบอ้างว่าจะให้เนื้อหา (เช่น ภาพยนตร์) แต่นำไปยังซอฟต์แวร์ที่ไม่เกี่ยวข้องแทน
    • อ่านข้อมูลเกี่ยวกับวิศวกรรมสังคมในบล็อกความปลอดภัยออนไลน์ของเรา
  • มีการทำงานเหมือนกับที่โฆษณาไว้ ตรวจดูว่าโปรแกรมมีความชัดเจนเกี่ยวกับฟังก์ชันการทํางานและเจตนารมณ์ของโปรแกรม หากโปรแกรมรวบรวมข้อมูลผู้ใช้หรือแทรกโฆษณาในเบราว์เซอร์ของผู้ใช้ ให้แจ้งลักษณะการทำงานเหล่านี้ด้วยภาษาที่ชัดเจนและไม่จัดให้การทำงานเหล่านี้เป็นฟีเจอร์ที่ไม่สำคัญ
  • มีคำอธิบายที่ชัดเจนให้ผู้ใช้ทราบว่าซอฟต์แวร์ของคุณจะเปลี่ยนแปลงอะไรในเบราว์เซอร์และระบบบ้าง อนุญาตให้ผู้ใช้ตรวจสอบและอนุมัติตัวเลือกการติดตั้งและการเปลี่ยนแปลงที่สำคัญทั้งหมด UI หลักของโปรแกรมต้องเปิดเผยคอมโพเนนต์ของไบนารีและฟังก์ชันการทำงานหลักอย่างชัดเจน ไบนารีนั้นต้องแนะนำวิธีง่ายๆ เพื่อให้ผู้ใช้สามารถข้ามการติดตั้งคอมโพเนนต์ที่ให้มาด้วย ตัวอย่างการเปิดเผยที่ไม่ชัดเจน ได้แก่ การซ่อนตัวเลือกเหล่านี้หรือใช้ข้อความที่มองเห็นได้ยาก
  • ใช้การรับรองต่อเมื่อได้รับอนุญาตเท่านั้น อย่าใช้โลโก้ของบริษัทอื่นโดยไม่ได้รับอนุญาตเพื่อให้ผลิตภัณฑ์ถูกต้องตามกฎหมายหรือเพื่อรับรองผลิตภัณฑ์ อย่าใช้โลโก้ของรัฐบาลโดยไม่ได้รับอนุญาต
  • ไม่ทำให้ผู้ใช้หวาดกลัว ซอฟต์แวร์ต้องไม่แจ้งสถานะเครื่องของผู้ใช้ที่สื่อให้เข้าใจผิด เช่น อ้างว่าระบบมีปัญหาด้านความปลอดภัยที่ร้ายแรงหรือติดไวรัส ซอฟต์แวร์ต้องไม่อ้างว่าจะให้บริการ (เช่น "เพิ่มความเร็วของพีซี") ที่ซอฟต์แวร์ไม่มีหรือไม่สามารถจัดหาให้ได้ ตัวอย่างเช่น ต้องไม่โฆษณาว่าจะให้เครื่องมือทำความสะอาดหรือเพิ่มประสิทธิภาพคอมพิวเตอร์ "ฟรี" เว้นเสียแต่ว่าจะให้บริการและคอมโพเนนต์ที่โฆษณาโดยไม่มีค่าใช้จ่าย

หลักเกณฑ์ของซอฟต์แวร์

  • ใช้ Google Settings API หากโปรแกรมของคุณเปลี่ยนแปลงการตั้งค่า Chrome การเปลี่ยนแปลงใดก็ตามในการตั้งค่าการค้นหาเริ่มต้นของผู้ใช้ หน้าเริ่มต้นใช้งาน หรือหน้าแท็บใหม่ต้องทำผ่าน Chrome Settings Override API ซึ่งกำหนดให้ใช้ส่วนขยาย Chrome รวมถึงขั้นตอนการติดตั้งส่วนขยายที่เป็นไปตามข้อกำหนด
  • อนุญาตให้กล่องโต้ตอบของเบราว์เซอร์และระบบปฏิบัติการแจ้งเตือนผู้ใช้ตามที่มุ่งหวัง อย่าระงับการแจ้งเตือนผู้ใช้จากเบราว์เซอร์หรือระบบปฏิบัติการ โดยเฉพาะอย่างยิ่งการแจ้งเตือนให้ผู้ใช้ทราบเกี่ยวกับการเปลี่ยนแปลงในเบราว์เซอร์หรือระบบปฏิบัติการของผู้ใช้
  • เราขอแนะนำให้คุณรับรองโค้ด แม้ว่าไบนารีที่ไม่มีการรับรองจะไม่ใช่สาเหตุที่ทำให้ระบุว่าไบนารีของคุณเป็นซอฟต์แวร์ไม่พึงประสงค์ แต่ขอแนะนำให้โปรแกรมมีการรับรองโค้ดที่ผ่านการยืนยันโดยผู้ให้บริการ Code Signing ซึ่งนำเสนอข้อมูลของผู้เผยแพร่ที่ตรวจสอบได้
  • ไม่ลดระดับมาตรการความปลอดภัยและการป้องกันที่ได้รับจากการเชื่อมต่อผ่าน TLS/SSL แอปพลิเคชันต้องไม่ติดตั้งใบรับรองจากผู้ออกใบรับรองรูท แอปนั้นต้องไม่ดักฟังการเชื่อมต่อผ่าน SSL/TLS เว้นแต่จะออกแบบมาสำหรับผู้เชี่ยวชาญเพื่อแก้ปัญหาหรือตรวจสอบซอฟต์แวร์ ดูรายละเอียดเพิ่มเติมได้ที่บล็อกโพสต์การรักษาความปลอดภัยของ Google ที่เกี่ยวข้อง
  • ปกป้องข้อมูลผู้ใช้ ซอฟต์แวร์และแอปบนอุปกรณ์เคลื่อนที่ต้องส่งข้อมูลส่วนบุคคลของผู้ใช้ไปยังเซิร์ฟเวอร์ตามฟังก์ชันการทำงานของแอปเท่านั้น และการส่งข้อมูลเหล่านี้ต้องเปิดเผยให้ผู้ใช้ทราบและมีการเข้ารหัสไว้
  • ไม่เป็นอันตราย ไบนารีของคุณต้องไม่รบกวนหรือเป็นอันตรายต่อการท่องเว็บของผู้ใช้ ตรวจสอบว่าไบนารีที่ดาวน์โหลดได้เป็นไปตามนโยบายทั่วไปต่อไปนี้
    • ไม่ขัดขวางฟังก์ชันการรีเซ็ตของเบราว์เซอร์ อ่านเกี่ยวกับปุ่มรีเซ็ตการตั้งค่าเบราว์เซอร์ใน Chrome
    • อย่าข้ามหรือระงับตัวควบคุม UI ของเบราว์เซอร์หรือระบบปฏิบัติการสำหรับการเปลี่ยนแปลงการตั้งค่า โปรแกรมต้องแจ้งให้ผู้ใช้ทราบและให้ผู้ใช้ควบคุมการเปลี่ยนแปลงการตั้งค่าที่เกิดขึ้นในเบราว์เซอร์อย่างเหมาะสม ใช้ Settings API เพื่อเปลี่ยนการตั้งค่า Chrome (ดูบล็อกโพสต์ Chromium นี้)
    • ใช้ส่วนขยายเพื่อเปลี่ยนฟังก์ชันการทำงานของ Google Chrome ไม่ใช่เปลี่ยนลักษณะการทำงานของเบราว์เซอร์ด้วยวิธีการทางโปรแกรมอื่นๆ เช่น โปรแกรมของคุณต้องไม่ใช้ DLL (Dynamically Linked Library หรือไลบรารีที่ลิงก์แบบไดนามิก) เพื่อแทรกโฆษณาในเบราว์เซอร์ ต้องไม่ใช้พร็อกซีที่สกัดกั้นการดู ต้องไม่ใช้ Layered Service Provider เพื่อสกัดการดำเนินการของผู้ใช้ และต้องไม่ใส่ UI ใหม่ในทุกหน้าเว็บด้วยการติดตั้งไบนารี Chrome
    • คำอธิบายของผลิตภัณฑ์และคอมโพเนนต์ต้องไม่ทำให้ผู้ใช้หวาดกลัว และ/หรือต้องไม่กล่าวความเท็จที่ทำให้เข้าใจผิด ตัวอย่างเช่น ผลิตภัณฑ์ของคุณต้องไม่กล่าวความเท็จว่าระบบกำลังมีปัญหาด้านความปลอดภัยที่ร้ายแรงหรือติดไวรัส โปรแกรมประเภทเครื่องมือทำความสะอาดรีจิสทรีต้องไม่แสดงข้อความเตือนเกี่ยวกับสถานะอุปกรณ์หรือคอมพิวเตอร์ของผู้ใช้ และอ้างว่าเครื่องมือดังกล่าวเพิ่มประสิทธิภาพพีซีของผู้ใช้ได้
    • ให้ขั้นตอนถอนการติดตั้งหาเจอได้ง่าย มีความเรียบง่าย และไม่มีการข่มขู่ โปรแกรมของคุณต้องแสดงวิธีการเปลี่ยนเบราว์เซอร์และ/หรือระบบกลับไปใช้การตั้งค่าเดิมไว้อย่างชัดเจน ตัวถอนการติดตั้งต้องนําคอมโพเนนต์ทั้งหมดออก และไม่ขัดขวางผู้ใช้ในขั้นตอนถอนการติดตั้ง เช่น อ้างถึงผลกระทบในทางลบที่อาจเกิดขึ้นต่อระบบหรือความเป็นส่วนตัวของผู้ใช้เมื่อถอนการติดตั้งซอฟต์แวร์นั้น
  • ดูแลคอมโพเนนต์อื่นให้ดี หากซอฟต์แวร์ผูกอยู่กับองค์ประกอบของซอฟต์แวร์อื่น คุณมีหน้าที่ตรวจสอบว่าองค์ประกอบเหล่านี้ไม่ละเมิดคำแนะนำข้างต้น

หลักเกณฑ์ของส่วนขยาย Chrome

หลักเกณฑ์ของแอปพลิเคชันบนอุปกรณ์เคลื่อนที่

  • แจ้งให้ผู้ใช้ทราบถึงเจตนาในการรวบรวมข้อมูล ให้โอกาสผู้ใช้ในการยอมรับการรวบรวมข้อมูลก่อนที่จะเริ่มรวบรวมและส่งข้อมูลจากอุปกรณ์ ซึ่งรวมถึงข้อมูลเกี่ยวกับบัญชีของบุคคลที่สาม อีเมล หมายเลขโทรศัพท์ แอปที่ติดตั้งไว้ และไฟล์ต่างๆ ในอุปกรณ์เคลื่อนที่ ตรวจสอบว่าคุณจัดการข้อมูลส่วนตัวหรือข้อมูลที่ละเอียดอ่อนของผู้ใช้ที่รวบรวมไว้นั้นอย่างปลอดภัย ซึ่งรวมถึงข้อมูลที่ส่งโดยใช้วิทยาการเข้ารหัสลับที่ทันสมัย (เช่น ผ่าน HTTPS) สำหรับแอปที่ไม่ได้อยู่ใน Play คุณต้องเปิดเผยให้ผู้ใช้ทราบถึงการรวบรวมข้อมูลในแอป สำหรับแอป Google Play การเปิดเผยข้อมูลต้องเป็นไปตามนโยบายของ Play ห้ามรวบรวมข้อมูลที่อยู่นอกเหนือการใช้งานที่เผยแพร่ไว้สำหรับแอปพลิเคชันของคุณ

  • ห้ามแอบอ้างแบรนด์หรือแอปอื่น ห้ามใช้ภาพหรือการออกแบบที่ไม่เหมาะสมหรือไม่ได้รับอนุญาต หรือมีความคล้ายคลึงกับแบรนด์หรือแอปอื่นในลักษณะที่อาจทำให้ผู้ใช้เข้าใจผิดได้
  • ดูแลให้เนื้อหาทั้งหมดอยู่ในบริบทของแอป แอปต้องไม่รบกวนแอปอื่นๆ และความสามารถในการใช้งานของอุปกรณ์ แอปต้องไม่แสดงโฆษณาหรือเนื้อหาเพิ่มเติมแก่ผู้ใช้นอกเหนือจากบริบทหรือฟังก์ชันของตัวแอปเอง หากไม่ได้รับการแสดงความยินยอมจากผู้ใช้และไม่ได้ระบุแหล่งที่มาของโฆษณาอย่างชัดเจนในทุกที่ที่โฆษณาเหล่านั้นปรากฏ
  • แอปต้องทำงานได้ตามที่แจ้งให้ผู้ใช้ทราบ ฟังก์ชันการทำงานทั้งหมดที่โฆษณาไว้ต้องพร้อมใช้งานสำหรับผู้ใช้ในแอป แอปอาจอัปเดตเนื้อหาของแอปได้ แต่ต้องไม่ดาวน์โหลดแอปอื่นๆ เพิ่มเติมโดยไม่ได้รับการแสดงความยินยอมจากผู้ใช้
  • ทำทุกอย่างด้วยความโปร่งใส แอปต้องไม่ถอนการติดตั้งหรือแทนที่แอปอื่นๆ หรือทางลัดของแอปอื่นๆ นั้น ยกเว้นว่าการกระทำดังกล่าวเป็นวัตถุประสงค์ที่แจ้งไว้ของแอป การถอนการติดตั้งต้องชัดเจนและต้องดำเนินจนเสร็จสมบูรณ์ แอปต้องไม่เลียนแบบข้อความแจ้งจากระบบปฏิบัติการของอุปกรณ์หรือแอปอื่นๆ

แอปที่เผยแพร่ผ่าน Google Play ต้องเป็นไปตามนโยบายโปรแกรมสำหรับนักพัฒนาแอปและข้อตกลงการจัดจำหน่ายของนักพัฒนาแอป ซึ่งมีข้อกำหนดเพิ่มเติม

การแก้ปัญหา

ตรวจสอบว่าเว็บไซต์หรือแอปพลิเคชันของคุณเป็นไปตามหลักเกณฑ์ด้านบน จากนั้นขอรับการตรวจสอบได้ในรายงานปัญหาด้านความปลอดภัย

หากแอปพลิเคชันบนอุปกรณ์เคลื่อนที่ของคุณกำลังแสดงคำเตือน โปรดอ่านข้อมูลเกี่ยวกับการตรวจสอบแอปและการอุทธรณ์ที่นี่