惡意軟體和垃圾軟體

Google 會檢查網站所代管的軟體或可下載的執行檔,是否會對使用者體驗造成負面影響。惡意軟體和垃圾軟體是指可下載的二進位檔,或是在網站上執行並影響網站訪客的應用程式。如要瞭解您的網站代管了哪些可疑檔案,可以查看安全性問題報告中的清單。

什麼是惡意軟體?

凡是刻意危害電腦、行動裝置、這些裝置執行的軟體,或其使用者的軟體或行動應用程式,均屬於惡意軟體。惡意軟體會帶來各種形式的危害,包括未經使用者同意擅自安裝軟體,以及安裝病毒等有害軟體。有時候,網站擁有者並未意識到其網站上的可下載檔案是惡意軟體,因而在無意間代管了這類二進位檔。

什麼是垃圾軟體?

垃圾軟體是一種可執行的檔案或行動應用程式,會欺騙使用者或出現無法預期的行為,也可能造成使用者瀏覽網頁以及使用電腦時的困擾。舉例來說,有些軟體會違反您的意願,擅自竄改您的首頁或其他瀏覽器設定;也有些應用程式會在未明確告知使用者的情況下洩漏私人或個人資訊。

如要進一步瞭解 Google 如何協助使用者防範垃圾軟體,請參閱 Google 線上安全性網誌的「下載項目不符預期」一文。

修正相關問題

請先確定您的網站或應用程式符合相關指南規範,再透過安全性問題報告提出審查要求。

如果您的行動應用程式顯示警告訊息,您可以提出申訴

指南規範

請確定您沒有違反《垃圾軟體政策》,並且遵守以下規範。違規行為會導致使用者在下載應用程式及造訪網站時收到警告訊息。請注意,以下僅列舉部分行為。如要瞭解您的網站代管了哪些可疑檔案,可以查看安全性問題報告中的清單。

清楚表明意圖

  • 如實告知使用者軟體的用途和意圖。廣告必須清楚告知使用者點選後下載的軟體,讓使用者在瞭解正確資訊的情況下自願執行下載。引導使用者下載軟體的廣告不得顯示欺騙性或不正確的資訊,例如:
    • 廣告僅含「下載」或「播放」這類字眼,未清楚說明宣傳的軟體。
    • 點選 [播放] 按鈕會直接下載軟體。
    • 廣告模仿發布商網站的外觀和風格,並假裝提供內容 (例如電影),但引導下載的軟體卻不相關。
    • 前往我們的線上安全性網誌,參閱社交工程相關文章。
  • 軟體行為與廣告內容必須相符。程式的功能和意圖必須清楚明確。如果您的程式會收集使用者資料,或是在使用者的瀏覽器中插入廣告,請清楚說明這些行為,不得偽裝成不重要的功能。
  • 向使用者明確說明您的軟體會對瀏覽器和系統進行哪些變更。允許使用者檢閱及同意所有重要安裝選項和變更項目。程式的主要使用者介面必須清楚說明二進位檔的元件與元件的主要功能,二進位檔則必須提供可讓使用者略過隨附元件安裝程序的簡便方法。例如隱藏這些選項或使用非常不顯眼的文字,都不是合適的揭露方式。
  • 背書行為必須獲得授權。請勿以未經授權的方式使用其他公司的標誌,藉此為產品提供合法證明或背書,也請不要在未經授權的情況下使用政府標誌。
  • 請勿讓使用者心生畏懼。軟體不可對使用者提供不實的裝置狀態,例如聲稱系統的安全性受到嚴重威脅或遭病毒感染。此外,軟體不得聲稱提供實際上未提供或無法提供的服務,例如「加快電腦的處理速度」。舉例來說,如果廣告指出提供「免費」電腦清理工具和最佳化工具,那就不得要求使用者付費才能使用宣傳的服務和元件。

軟體規範

  • 如果您的程式會變更 Chrome 設定,請使用 Google Settings API。 所有對使用者的預設搜尋設定、起始網頁或新分頁進行的變更,都必須透過 Chrome Settings Override API 執行,該 API 會要求您使用 Chrome 擴充功能以及符合規範的擴充功能安裝流程。
  • 允許瀏覽器和作業系統透過對話方塊向使用者發出警示。 請勿阻止瀏覽器或作業系統向使用者發出警示,特別是用來提醒使用者瀏覽器或作業系統會出現變更的警示。
  • 建議您簽署程式碼。雖然系統不會將未簽署的二進位檔認定為垃圾軟體,我們仍建議程式使用有效、經過驗證,且由程式碼簽署授權單位核發的程式碼簽名,代表發布者資訊可供驗證。
  • 請勿將傳輸層安全標準 (TLS)/安全資料傳輸層 (SSL) 連線提供的安全性與防護措施降級。應用程式不可安裝根憑證授權單位憑證。除非要讓專家用於偵錯或調查軟體,否則應用程式不得攔截 SSL/TLS 連線。詳情請參閱相關的 Google 安全性網誌文章
  • 保護使用者的資料。如果軟體 (包括行動應用程式) 會將使用者的私人資料傳輸到伺服器,必須明確告知使用者並加密保護使用者的資料。此外,傳輸的資料必須與應用程式本身的功能相關。
  • 不破壞設定。二進位檔必須顧及使用者的瀏覽體驗,不可造成使用者的困擾。請確認您的可下載二進位檔遵守以下通用政策:
    • 不影響瀏覽器重設功能。進一步瞭解 Chrome 的重設瀏覽器設定按鈕。
    • 如果程式會變更設定,請不要略過或隱藏相關的瀏覽器/作業系統 UI 控制項。假如程式會變更瀏覽器設定,必須為使用者提供適當的通知訊息和控制項。請使用 Settings API 變更 Chrome 設定 (參閱這篇 Chromium 網誌文章,瞭解如何透過新的 Settings API 保護 Windows 上的使用者設定。
    • 使用擴充功能調整 Google Chrome 功能,不透過其他程式設計方式變更瀏覽器行為。舉例來說,程式不得使用 DLL (動態連結程式庫) 在瀏覽器中插入廣告、部署會攔截流量的 Proxy、利用分層服務提供者攔截使用者的動作,也不得藉由修補 Chrome 二進位檔,在每個網頁插入新 UI。
    • 您的產品和元件說明不得讓使用者心生畏懼,且/或不得提供不實或誤導性的聲明。舉例來說,產品不得提供不實聲明,如聲稱系統的安全性受到嚴重威脅或遭病毒感染。登錄檔清理工具這類程式不得顯示有關使用者電腦或裝置狀態的警告訊息,聲稱使用該程式可提升使用者電腦的安全性。
    • 解除安裝程序必須顯眼易找、操作容易,且不具備任何威脅意味。 您的程式應具備標示清楚的操作說明,方便使用者將瀏覽器和/或系統復原至先前的設定。解除安裝程式必須移除所有元件,不得讓使用者心生恐懼而中斷解除安裝程序,例如聲稱軟體一旦解除安裝,使用者的系統或隱私可能會受到負面影響。
  • 維護整體品質。如果您的軟體包含其他軟體元件,您必須確保這些元件均符合建議事項

Chrome 擴充功能規範

  • 根據政策規定,擴充功能一律必須在 Chrome 環境中公開及安裝。 擴充功能必須由 Chrome 線上應用程式商店代管,且預設為停用,並符合 Chrome 線上應用程式商店的各項政策,包括單一用途政策。透過程式安裝的擴充功能必須使用授權的 Chrome 擴充功能安裝流程,提示使用者在 Chrome 中啟用擴充功能。設定變更時,Chrome 會透過對話方塊向使用者發出警示,擴充功能不可禁止這類警示。
    要求核准安裝擴充功能的 Chrome 彈出式視窗。
  • 指導使用者如何移除 Chrome 擴充功能。解除安裝程式時,如果能一併移除當初同時安裝的所有項目,能讓使用者得到良好的體驗。解除安裝流程應提供操作說明,讓使用者能夠自行停用及刪除擴充功能。
  • 如果二進位檔會安裝瀏覽器外掛程式或變更預設的瀏覽器設定,則必須採用相應瀏覽器所支援的安裝流程和 API。舉例來說,如果二進位檔安裝的是 Chrome 擴充功能,該檔案就必須由 Chrome 線上應用程式商店代管,且遵守 Chrome 的《開發人員計畫政策》。如果二進位檔安裝 Chrome 擴充功能的方式違反了《Chrome 擴充功能替代發布選項政策》,Google 便會視為惡意軟體。

行動應用程式規範

  • 告知使用者您會收集他們的資料。開始收集資料並透過裝置傳送資料之前,您必須先詢問使用者是否同意您收集他們的資料,包括第三方帳戶、電子郵件、電話號碼、已安裝的應用程式,以及行動裝置上的檔案等。您必須以安全無虞的方式處理收集到的使用者個人資料或機密資料,包括使用新型密碼編譯法傳輸的資料 (例如透過 HTTPS)。如果是非 Google Play 應用程式,您必須在應用程式內向使用者揭露資料收集行為。如果是 Google Play 應用程式,應以符合 Google Play 政策的方式向使用者揭露。您收集資料的範圍不得超出應用程式聲明的資料用途。

  • 請勿假冒其他品牌或應用程式。禁止以不恰當或未經授權的方式,使用與其他品牌/應用程式雷同而可能造成使用者混淆的圖像或設計。
  • 所有內容必須與應用程式本身有關。應用程式不得干擾其他應用程式及裝置的可用性。如果未經使用者同意,且未在顯示廣告的所有位置清楚標示廣告來源,應用程式就不得對使用者顯示與本身內容/功能無關的廣告或其他內容。
  • 應用程式必須為使用者提供承諾的服務。應用程式必須向使用者提供廣告中宣傳的所有功能。應用程式可更新自身內容,但必須經過使用者同意才能下載其他應用程式。
  • 應用程式的行為應公開透明。應用程式不得解除安裝或取代其他應用程式 (或其捷徑),除非這類行為是該應用程式的指定用途。解除安裝流程必須清楚完整。應用程式不得模仿裝置 OS 或其他應用程式的提示。

透過 Google Play 發行的應用程式必須符合《開發人員計畫政策》和《開發人員發行協議》詳述的其他相關規定。

如果您是 Search Console 使用者,且您的網站有無法修正或持續發生的安全性問題,請通知我們。

回報安全性問題