در بخش قبلی این مقاله به معرفی برخی از سیاستها و قوانین گوگل پلی برای انتشار برنامهها از جمله پرداختیم. حال در ادامه این مقاله به بررسی انواع دیگری از این قوانین میپردازیم. بنابراین از شما دعوت مینماییم سیاستهای زیر را با دقت مورد بررسی قرار دهید:
برای مطالعه بخش قبلی این مقاله به این لینک مراجعه کنید.
مجوز دسترسی به همه پروندهها
طبق قوانین گوگل پلی برای انتشار برنامهها، پروندهها و دایرکتوریهای دستگاه کاربر، تحت سیاست اطلاعات شخصی، به عنوان دادههای شخصی و حساس کاربر شناخته میشوند که استفاده از آنها، وابسته به الزامات زیر است:
- برنامهها فقط باید دسترسی به حافظه دستگاه را که برای عملکرد برنامه حیاتی است، درخواست کنند و از طرف شخص ثالث برای هر هدفی که ارتباطی با عملکرد مهم برنامه کاربر ندارد، دسترسی به حافظه دستگاه را درخواست ننمایند.
- دستگاههای دارای اندروید R(اندروید ۱۱ با API سطح ۳۰) یا بالاتر، برای مدیریت دسترسی در فضای ذخیرهسازی مشترک، به مجوز مدیریت ذخیرهسازی در حافظه خارجی (manage external storage) نیاز دارند. همه برنامههایی که از «اندروید» استفاده میکنند. و خواستار دسترسی گسترده به فضای ذخیرهسازی مشترک (دسترسی به همه پروندهها) هستند، باید قبل از انتشار، یک تجدیدنظر و بررسی مناسب از نحوه دسترسی، به عمل آورند. طبق قوانین گوگل پلی برای انتشار برنامهها، برنامههای مجاز به استفاده از این مجوز، باید به وضوح از کاربران بخواهند «دسترسی به همه پروندهها» را برای برنامه خود در تنظیمات «دسترسی ویژه برنامه» فعال کنند. برای کسب اطلاعات بیشتر در مورد الزامات و مقررات اندروید R، لطفاً به این مقاله راهنما مراجعه کنید.
سوءاستفاده از دستگاه و شبکه
قوانین گوگل پلی برای انتشار برنامهها، اجازه نمیدهد برنامهها در دستگاه کاربر، سایر دستگاهها یا رایانهها، سرورها، شبکهها، رابطهای برنامهنویسی برنامه (APIها) سرویسهای گوگل و یا شبکههای مخابراتی اختلال ایجاد کرده و به طور غیرمجاز به اطلاعات آنها دسترسی پیدا کنند.
برنامههای موجود در فهرست گوگل پلی، باید با الزامات پیشفرض بهینهسازی سیستم عامل اندروید که در دستورالعملها و راهنماهای کیفیت برنامه Core برای گوگل پلی ثبت شده است، مطابقت داشته باشند.
برنامه توزیع شده از طریق گوگل پلی ممکن است با استفاده از روش دیگری غیر از مکانیسم بهروزرسانی گوگل پلی، خود را اصلاح، جایگزین یا به روزرسانی نکند. به همین ترتیب، ممکن است برنامهای، کد اجرایی (به عنوان مثال dex ، JAR ، پرونده های so.) را از منبعی غیر از گوگل پلی بارگیری نکند. این محدودیت در مورد کدهایی که در یک ماشین مجازی اجرا میشوند و دسترسی محدود به APIهای اندروید (مانند جاوا اسکریپت در یک وب ویو یا مرورگر وب) دارند، اعمال نمیشود.
قوانین گوگل پلی برای انتشار برنامهها، کدی را که هدف آن آسیبپذیری امنیتی برنامهها، سیستمهای اطلاعاتی یا کامپیوتری است را مجاز نمیداند. برای آگاهی از جدیدترین مسائل امنیتی تعیین شده برای برنامهنویسان و توسعهدهندگان، برنامه بهبود امنیت برنامه را بررسی کنید.
در اینجا به چند نمونه از موارد رایج نقض قوانین گوگل پلی برای انتشار برنامهها، در این زمینه اشاره شده است:
- برنامههایی که با تبلیغات نمایشی برنامه دیگر تداخل داشته یا آن را مسدود کنند.
- برنامههای متقلب و هککننده بازیها که روی برنامههای دیگر تأثیر مخرب بگذارد.
- برنامههایی که نحوه هک خدمات، هک نرمافزار یا سختافزار یا دور زدن حفاظها و سپرهای امنیتی را آموزش داده یا آن را تسهیل بخشند.
- برنامههایی که به سرویس یا API برنامه دیگری دسترسی داشته و شرایط خدمات آن را نقض یا مسدود نمایند.
- برنامههایی که از واجدین شرایط لیست سفید نبوده و سعی دارند مدیریت انرژی سیستم را دور بزنند.
- برنامههایی که خدمات پروکسی را برای اشخاص ثالث تسهیل کنند؛ البته فقط در برنامههایی که رویارویی با کاربر هدف اصلی برنامه است، ممکن است این کار را انجام دهند.
- برنامهها یا کد شخص ثالث (به عنوان مثال SDK) که کد اجرایی مانند فایلهای dex یا کد بومی را از منبعی غیر از گوگل پلی بارگیری کنند.
- برنامههایی که برنامههای دیگری را بدون رضایت قبلی کاربر بر روی دستگاه نصب کنند.
- برنامههایی که به نشر یا نصب نرمافزار مخرب لینک داده یا روند انجام این کار را تسهیل بخشند.
رفتار فریبنده
طبق قوانین گوگل پلی برای انتشار برنامهها، گوگل پلی به برنامههایی که سعی در فریب کاربران خود دارند یا رفتارهای غیرصادقانه و متقلبانه را امکانپذیر میسازند، از جمله برنامههایی که از نظر عملکرد غیرممکن تشخیص داده میشوند، مجوز نمیدهد. برنامهها باید یک شفافسازی دقیق از توضیحات، تصاویر/ فیلم و عملکرد خود در تمام قسمتهای فراداده به عمل آورند. برنامهها نباید سعی کنند عملکردها یا هشدارهای سیستم عامل یا برنامههای دیگر را تقلید کنند. هرگونه تغییر در تنظیمات دستگاه باید با آگاهی و رضایت کاربر انجام شود و توسط کاربر قابل برگشت یا به عبارتی، قابل لغو باشد.
ادعاهای گمراه کننده
قوانین گوگل پلی برای انتشار برنامهها، به برنامههایی که شامل اطلاعات یا ادعاهای کاذب یا گمراهکننده در شرح، عنوان، نماد و عکسهای صفحه باشند، اجازه نشر و توزیع نمیدهد.
در اینجا چند نمونه از موارد نقض رایج قوانین گوگل پلی برای انتشار برنامهها در این زمینه آورده شده است:
برنامههایی که عملکرد خود را بد جلوه داده یا آن را به طور دقیق و واضح توصیف نکنند.
- اپلیکیشنی که در توضیحات و اسکرینشاتهای خود ادعا کند یک بازی اتومبیلرانی است اما در واقع یک بازی بلوک پازل است که از تصویر ماشین استفاده میکند.
- برنامهای که ادعا کند یک برنامه ضدویروس است، اما فقط حاوی یک راهنمای متنی است که نحوه حذف ویروسها را توضیح میدهد.
- برنامههایی که دارای محتوای پزشکی و یا مربوط به سلامتی یا عملکردهای گمراه کننده یا بالقوه مضر باشند.
- برنامههایی که ادعای عملکردهایی را دارند که امکان اجرای آنها وجود ندارد (به عنوان مثال برنامههای ضدحشره)، حتی اگر به عنوان یک شوخی ساختگی، طنز یا غیره نشان داده شود.
- برنامههایی که به طور نامناسب دستهبندی شدهاند، از جمله رتبهبندی یا دستهبندی برنامه.
- برنامههایی که دارای محتوای به وضوح فریبنده باشند که ممکن است در روند رایگیری و انتخاب، تداخل ایجاد کند.
- برنامههایی که به دروغ ادعای وابستگی به نهاد دولتی یا ارائه خدمات دولتی را دارند که کاملاً مجاز نیستند.
- برنامههایی که به دروغ ادعا کنند برنامه رسمی یک نهاد یا یک هویت مقرر و ثابت هستند. استفاده از عناوینی مانند «Justin Bieber Official» بدون کسب مجوزها یا حقوق لازم مجاز نیست.
اعمال تغییرات فریبنده در تنظیمات دستگاه
قوانین گوگل پلی برای انتشار برنامهها، به برنامهها اجازه نمیدهید که بدون اطلاع و رضایت کاربر، تغییراتی در تنظیمات دستگاه یا خصوصیات کاربر در خارج از برنامه ایجاد کنند. تنظیمات و ویژگیهای دستگاه شامل تنظیمات سیستم و مرورگر، نشانکها، میانبرها، نمادها، ابزارکها و نمایش برنامهها در صفحه اصلی است.
علاوه بر این، قوانین گوگل پلی برای انتشار برنامهها برنامههای زیر را نیز مجاز نمیداند:
- برنامههایی که با رضایت کاربر، تنظیمات یا ویژگیهای دستگاه را تغییر دهند، اما این کار را به روشی به انجام رسانند که به راحتی قابل برگشت یا قابل لغو نباشد.
- برنامهها یا تبلیغاتی که تنظیمات یا ویژگیهای دستگاه را به نفع اشخاص ثالث یا برای اهداف تبلیغاتی تغییر دهند.
- برنامههایی که باعث گمراه کردن کاربران در حذف یا غیرفعال کردن برنامههای شخص ثالث یا تغییر تنظیمات یا ویژگیهای دستگاه شوند.
- برنامههایی که کاربران را به حذف یا غیرفعال کردن برنامههای شخص ثالث، تغییر تنظیمات یا ویژگیهای دستگاه، تشویق و ترغیب کنند، مگر اینکه بخشی از یک سرویس امنیتی قابل تأیید باشد.
فعال کردن رفتار غیرصادقانه و متقلبانه
قوانین گوگل پلی برای انتشار برنامهها، به برنامههایی که به کاربران کمک کنند، دیگران را گمراه سازند یا از لحاظ عملکردی فریبنده باشند، مجوز نمیدهد، از جمله برنامههایی که امکان تهیه و صدور یا به عبارتی جعل کارتهای شناسایی، شمارههای تأمین اجتماعی، گذرنامه، مدرک دیپلم، کارتهای اعتباری و گواهینامه را فراهم ساخته یا به تبلیغ آن میپردازند. برنامهها باید یک شفافسازی دقیق از عنوان، توضیحات، تصاویر/ فیلم مربوط به عملکرد و یا محتوای برنامه به عمل آورند و باید مطابق انتظار و منطق کاربر باشند.
منابع اضافی برنامه (به عنوان مثال داراییهای بازی) فقط درصورتی قابل دانلود و بارگیری هستند که وجود آنها برای استفاده کاربران از برنامه، ضروری باشد. منابع دانلود شده باید با تمام خط مشیها و سیاستهای گوگل پلی مطابقت داشته باشند و قبل از شروع دانلود، برنامه باید فوراً شروع بارگیری را به کاربران اعلام کند و اندازه و حجم بارگیری را به وضوح نمایش دهد.
هرگونه ادعای «شوخی بودن» و یا «برای اهداف سرگرمی بودن» برنامه (یا مترادفهای نظیر آن)، برنامه را از اِعمال سیاستهای ما معاف نمیکند.
در اینجا به چند نمونه از موارد نقض رایج قوانین گوگل پلی برای انتشار برنامهها در این زمینه اشاره شده است:
- برنامههایی که از برنامهها یا وبسایتهای دیگر برای فریب کاربران، تقلید کنند تا اطلاعات شخصی یا هویتی آنها را افشاء نمایند.
- برنامههایی که شمارههای تلفن، لیست مخاطبین، آدرسها یا اطلاعات قابل شناسایی اشخاص را بدون کسب اجازه و رضایت آنها در دنیای واقعی به نمایش بگذارند.
- برنامههایی با عملکرد اصلی متفاوت و مبتنی بر موقعیت جغرافیایی کاربر، پارامترهای دستگاه یا سایر دادههای وابسته به کاربر که در آن این اختلافات به طور برجسته برای کاربر در لیست فروشگاه تبلیغ نشود.
- برنامههایی که نسخهها و ورژنهای آن، بدون هشدار و اعلان به کاربر (به عنوان مثال، بخش خبرهای جدید) و بدون به روزرسانی لیست فروشگاه، هر چند وقت یکبار، به طور قابل توجهی تغییر کنند.
- برنامههایی که سعی نمایند رفتار را در حین بازبینی، مبهم جلوه داده یا اصلاح کنند.
- برنامههای دارای شبکه تحویل محتوا (CDN) که مورد درخواست کاربر نبوده و قبل از بارگیری، اندازه و حجم بارگیری را آشکار ننمایند.
رسانه دستکاری شده
قوانین گوگل پلی برای انتشار برنامهها، به برنامهها یا اَپها اجازه نمیدهد که از طریق تصاویر، فیلمها و یا محتواهای متنی، اطلاعات یا ادعاهای کاذب و گمراهکننده را منتقل کرده و یا به ترویج آنها کمک نمایند. قوانین گوگل پلی حتی از نشر و توزیع برنامههایی که با ترویج یا تداوم تصاویر، ویدئوها و متون گمراهکننده یا فریبنده، ممکن است باعث آسیب به یک رویداد حساس، سیاست، مسائل اجتماعی یا سایر موارد موردعلاقه عمومی شوند، جلوگیری میکند.
برنامههایی که رسانهها را فراتر از تنظیمات و ویرایشهای مرسوم برای وضوح و کیفیت، دستکاری کرده یا آن را تغییر میدهند، باید رسانههای تغییر یافته را نیز به طور برجسته مشخص کنند یا اینکه آنها را علامتگذاری کنند، چرا که ممکن است برای یک فرد عادی واضح نباشد که رسانه تغییر کرده است.
در اینجا به چند نمونه از موارد نقض رایج قوانین گوگل پلی برای انتشار برنامهها در این زمینه اشاره شده است:
- برنامههایی که یک شخصیت و چهره عمومی را به یک تظاهرات در طی یک رویداد حساس سیاسی اضافه کنند.
- برنامههایی که از شخصیتهای عمومی یا رسانههای یک رویداد حساس برای تبلیغ قابلیت تغییر رسانه در لیست فروشگاه برنامه استفاده نمایند.
- برنامههایی که برای تقلید از یک برودکست خبری، کلیپهای رسانهای را تغییر دهند.
ارائه اطلاعات نادرست
قوانین گوگل پلی برای انتشار برنامهها، به برنامهها یا اکانتهای (حساب کاربریهای) توسعه دهنده اجازه نمیدهد که:
- هویت شخص یا سازمان دیگری را جعل نمایند یا مالکیت یا هدف اصلی خود را پنهان نموده یا آن را نادرست معرفی کنند.
- برای گمراه کردن و فریفتن کاربران به یک اقدام و فعالیت از پیش هماهنگ شده بپردازند. این مورد شامل برنامهها یا حسابهای توسعهدهندهای است که کشور مبدا خود را مخفی کرده یا آن را نادرست معرفی میکنند و محتوای آن را به کاربران در کشور دیگری هدایت نموده و ارجاع میدهند.
برای مخفی نمودن یا اشتباه جلوه دادن هویت برنامه یا برنامهنویس و سایر جزئیات مهم، در جایی که محتوای برنامه به سیاست، مسائل اجتماعی یا موضوعات موردعلاقه عمومی مربوط میشود، باید با سایر برنامهها، سایتها، برنامهنویسان و دیگر حسابهای کاربری، هماهنگیهای لازم صورت گیرد.
بدافزار
بدافزار، هر کدی است که بتواند کاربر، دادههای کاربری یا دستگاهی را در معرض خطر قرار دهد. بدافزار، شامل برنامههای بالقوه مضر (PHA)، باینریها و … است که دستههایی مانند تروجانها، فیشینگ یا تلهگذاری و برنامههای جاسوسی را شامل میشود و قوانین گوگل پلی برای انتشار برنامهها، به طور مداوم این دستهها را به روز و موارد جدید را به آن میافزاییم.
بر طبق قوانین گوگل پلی برای انتشار برنامهها، اکوسیستم اندروید، از جمله فروشگاه گوگل پلی و دستگاههای کاربر، باید عاری از رفتارهای مخرب (به عنوان مثال بدافزار) باشند. از طریق این اصل اساسی، ما تلاش میکنیم تا اکوسیستم اندرویدی ایمنی را برای کاربران و دستگاههای اندرویدی آنها فراهم نماییم.
گرچه بدافزارها از نظر نوع و قابلیت متنوعاند، اما معمولاً یکی از اهداف زیر را دنبال میکنند:
- به خطر انداختن یکپارچگی دستگاه کاربر
- اعمال کنترل بر دستگاه کاربر
- کلاهبرداری از کاربر
- فعال نمودن و امکانپذیر ساختن عملیات کنترل از راه دور، برای یک مهاجم سایبری، جهت دسترسی، استفاده یا استخراج اطلاعات از دستگاه موردنظر.
- پخش کردن اطلاعات و مدارک شخصی از دستگاه، بدون آگاهسازی وکسب رضایت کاربر
- انتشار اسپم (جفنگ، هرزنامه) از دستگاه آلوده شده جهت تأثیر مخرب بر سایر دستگاهها و شبکهها و سرقت اطلاعات سیستمها.
- کلاهبرداری از کاربر
یک اَپ یا یک باینری میتواند به طور بالقوه مضر باشد، بنابراین میتواند رفتارهای مخربی ایجاد کند، حتی اگر مضر نباشد. به این دلیل است که بسته به متغیرهای مختلف، برنامهها، باینریها یا اصلاحات چارچوب میتوانند عملکرد متفاوتی داشته باشند. بنابراین، آنچه برای یک دستگاه اندرویدی مضر است ممکن است به هیچ وجه خطری برای دستگاه اندرویدی دیگر نداشته باشد. به عنوان مثال، دستگاهی که آخرین نسخه اندروید را اجرا میکند، غالباً تحتتأثیر برنامههای مضری که از APIهای منسوخ برای انجام رفتارهای مخرب استفاده میکنند، قرار نمیگیرد؛ اما دستگاهی که هنوز از نسخه بسیار قدیمی و اولیه اندروید استفاده میکند، ممکن است در معرض خطر باشد. طبق قوانین گوگل پلی برای انتشار برنامهها، اگر اَپها، باینریها یا اصلاحات چارچوب، به وضوح خطری برای برخی یا همه دستگاههای اندرویدی و همچنین کاربران داشته باشند، به عنوان بدافزار یا برنامههای بالقوه مضر، پرچمگذاری میشوند.
دستههای بدافزار در بخش ذیل، باور بنیادی ما را نشان میدهد که کاربران باید نحوه استفاده از دستگاه خود را بفهمند و یک اکوسیستم ایمن را فراهم کنند که نوآوری قوی و تجربه کاربری قابلاعتماد را امکانپذیر میسازد.
برای اطلاعات بیشتر به گوگل پلی پروتکت یا سپر امنیتی گوگل پلی (Google Play Protect) مراجعه کنید.
- بکدورز(Backdoors) یا درهای پشتی
کدی که امکان اجرای عملیات ناخواسته، بالقوه مضر و کنترل از راه دور را روی دستگاه فراهم میکند.
این عملیات ممکن است شامل رفتاری باشد که در صورت اجرای خودکار؛ برنامه، باینری یا اصلاح چارچوب را در یکی دیگر از دستههای بدافزار قرار دهد. به طور کلی، بکدور یا در پشتی، توصیف چگونگی یک عملیات بالقوه مضر بر روی دستگاه است و بنابراین با دستههایی مانند کلاهبرداری صورتحساب یا جاسوسافزار تجاری مطابقت ندارد. در نتیجه، زیر مجموعهای از درهای پشتی، تحت برخی شرایط، توسط سپر امنیتی گوگل پلی، به عنوان یک آسیبپذیری، تلقی میشود.
- کلاهبرداری صورتحساب
کدی که به طور خودکار و به روشی فریبنده و عمدی، کاربر را ترغیب و بدون کسب رضایت از وی، هزینه مازادی را به وی تحمیل میکند، در واقع معنای کلی آن تحمیل هزینههای ناآگاهانه به کاربر است.
کلاهبرداری قبض و صورتحساب موبایل به کلاهبرداری پیامکی، کلاهبرداری تماسی و کلاهبرداری عوارضی تقسیم میشود.
کلاهبرداری پیامکی
کدی که در ازای ارسال پیامک جایزهدار، بدون رضایت کاربر، از حساب وی کسر میکند یا سعی دارد با نادیده گرفتن توافقنامههای شفافسازی یا ارسال پیامک از طریق اپراتور تلفن همراه، اخطار هزینهها یا تأیید اشتراکها، فعالیتهای پیامکی و اهداف سوء خود را را از کاربر پنهان کند.
برخی از کدها، حتی اگر از نظر فنی، قضیه ارسال پیامک را فاش کنند، رفتارهای مکمل و مازادی را معرفی میکنند که با تقلب و کلاهبرداری پیامکی همراه باشد. به عنوان مثال میتوان به پنهان کردن قسمتهایی از توافقنامه آگاهسازی کاربر، ناخوانا کردن آنها و سرکوب مشروط پیامکهایی که از طریق اپراتور تلفن همراه، کاربر را از هزینههای مربوطه آگاه میکند یا اشتراک شما را تأیید میکند، اشاره کرد.
کلاهبرداری از طریق تماس تلفنی
کدی که با برقراری تماس با شمارههای خاص و بدون رضایت کاربر، از حساب آنها کسر مینماید.
کلاهبرداری از طریق دریافت عوارض
کدی که کاربران را به عضویت یا خرید محتوا از طریق قبض تلفن همراه خود فریب میدهد و باعث هزینههای اضافی برای قبض موبایل کاربران میشود.
طبق قوانین گوگل پلی برای انتشار برنامهها، کلاهبرداری عوارضی، شامل هر نوع کلاهبرداری از صورتحساب موبایل، به غیر از پیامکها و تماسهای خاص است. از جمله این موارد میتوان به صورتحساب مستقیم شرکت مخابراتی، نقطه دسترسی بیسیم (WAP) و انتقال شارژ گوشی به گوشی اشاره کرد. کلاهبرداری WAP یکی از رایجترین انواع کلاهبرداری و تحمیل خسارت است. کلاهبرداری WAP میتواند شامل فریب کاربران برای کلیک کردن روی یک دکمه بر روی یک وب ویو بیصدا دانلود شده، باشد. با انجام این عمل، تعهد پرداخت مکرر شروع میشود و پیامک یا ایمیل تأیید غالباً ربوده میشود تا کاربران نتوانند تراکنش مالی را متوجه شوند.
- استالکر (Stalkerware)
کدی که اطلاعات شخصی را بدون اطلاع یا کسب رضایت کاربر، از دستگاه یا تلفن همراه وی منتقل میکند و اعلان و هشدارهایی که دائماً اتفاق میافتد را نمایش نمیدهد.
برنامههای Stalkerware معمولاً دادهها را به طرف دیگری غیر از ارائهدهنده PHA (برنامههای بالقوه مضر) منتقل میکنند.
فرمهای قابل قبول این برنامهها میتوانند توسط والدین، برای ردیابی فرزندان خود استفاده شوند. با این حال، نمیتوان از این برنامهها برای ردیابی شخص (به عنوان مثال همسر) بدون اطلاع یا اجازه وی استفاده کرد، مگر اینکه هنگام انتقال دادههای کاربر، اعلانی پایدار نمایش داده شود.
فقط برنامههای سازگار با قوانین گوگل پلی برای انتشار برنامهها، که به طور انحصاری برای نظارت والدین (از جمله خانواده) یا مدیریت شرکتی طراحی و به بازار عرضه شدهاند، میتوانند در پلی استور (فروشگاه پلی) با ویژگیهای ردیابی و گزارش توزیع شوند، مشروط بر اینکه کاملاً با الزامات شرح داده شده در قسمت زیر مطابقت داشته باشند:
برنامههای غیراستارلکر توزیعشده در پلی استور که رفتار کاربر را بر روی دستگاه، نظارت یا ردیابی میکنند باید حداقل با این شرایط مطابقت داشته باشند:
- برنامهها نباید خود را به عنوان یک راهحل جاسوسی یا نظارت مخفی نشان دهند.
- برنامهها نباید رفتار ردیابی شده را مخفی یا پنهان کنند یا سعی کنند کاربران را در مورد چنین عملکردی گمراه نمایند.
- طبق قوانین گوگل پلی برای انتشار برنامهها، برنامهها باید یک اعلان (نوتیفیکیشن) مداوم و یک نماد منحصر به فرد که به وضوح برنامه را مشخص میکند، به کاربران ارائه دهند.
- برنامهها و لیست برنامهها در گوگل پلی، نباید هیچ روشی را برای فعال کردن یا دستیابی به عملکردهایی که این شرایط را نقض میکنند فراهم کنند، مانند لینکدهی به APK غیرمنطبق که خارج از گوگل پلی هاست (میزبان) شده است.
- فقط شما در تعیین قانونی بودن برنامه خود در موقعیت و شرایط مورد هدف، مسئول هستید. برنامههایی که انتشار آنها در محدوده و موقعیت مورد نظر، غیرقانونی باشد، حذف میشوند.
- انکار سرویس (DoS)
کدی که بدون آگاهی از کاربر، حمله انکار سرویس (DoS) را اجرا و اداره میکند یا بخشی از DoS توزیع شده علیه سیستمها و منابع دیگر است. در این حمله؛ بدون آگاهی کاربر، درخواستهای بسیاری برای یک سرویسدهنده ارسال شده که در واقع حجم بالای این درخواستها، باعث میشود که سرویسدهنده توانایی پاسخگویی به کاربران واقعی را نداشته و با اختلال مواجه شود.
بر طبق قوانین گوگل پلی برای انتشار برنامهها، به عنوان مثال، این نوع حمله، میتواند با ارسال حجم زیادی از درخواستهای HTTP برای تولید بار بیش از حد در سرورهای از راه دور، اتفاق بیفتد.
- Hostile Downloaders
طبق قوانین گوگل پلی برای انتشار برنامهها، کدی که به خودی خود و به طور بالقوه مضر نیست، اما میتواند منبعی برای بارگیری و دانلود PHAهای مخرب باشد.
این کد ممکن است یک بارگیرنده و دانلودر مضر باشد اگر:
- با هدف گسترش PHA (برنامههای بالقوه مضر) ایجاد شده و PHAها را بارگیری کند یا حاوی کدی باشد که میتواند این قبیل برنامهها را بارگیری و نصب کند؛ یا
- حداقل ۵٪ از برنامههای بارگیری شده توسط آن از نوع PHA با حداقل آستانه ۵۰۰ بارگیری مشاهده شده باشد (از این مقدار، حداقل ۲۵ PHA بارگیری شده؛ مورد رویت و بازدید واقع شده باشد).
طبق قوانین گوگل پلی برای انتشار برنامهها، مرورگرهای اصلی و برنامههای اشتراک فایل، بارگیرنده مضر محسوب نمیشوند تا زمانی که:
- بارگیری را بدون تعامل کاربر انجام ندهند.
- همه بارگیریهای حاوی PHA با رضایت کاربران آغاز شود.
- تهدید غیراندرویدی
کدی که شامل محتواهای تهدیدآمیز برای دستگاههای غیر اندرویدی است.
این برنامهها نمیتوانند به کاربر یا دستگاه اندرویدی آسیبی برسانند، اما با این حال از منظر قوانین گوگل پلی برای انتشار برنامهها، مخربند، چون حاوی محتوا و کدهایی هستند که به طور بالقوه برای سیستم عاملهای دیگر مضر و مخرب خواهند بود.
- رمزگیری یا فیشینگ یا تلهگذاری
کدی که به نظر میآید از یک منبع معتبر و شناخته شده است و با تکیه بر این اعتبار، از کاربر اطلاعات هویتی یا اطلاعات مربوط به صورتحساب و رمزهای عبور را درخواست میکند، اما در نهایت این دادهها را برای یک منبع خارجی یا یک شخص ثالث میفرستد.
این دسته همچنین به کدی اطلاق میشود که پروسه انتقال اعتبارات و اطلاعات کاربر را در حین انتقال، قطع میکند.
اعتبارات بانکی، شماره کارت اعتباری و اعتبار حساب آنلاین، موارد مورد هدف فیشینگ، برای شبکههای اجتماعی و بازیها است.
- سوءاستفاده از سطح دسترسی بالا
طبق قوانین گوگل پلی برای انتشار برنامهها، کدی که با شکستن سندباکس یا جعبهشنی برنامه، کسب سطح دسترسی بالاتر یا تغییر یا غیرفعال کردن دسترسی به عملکردهای اصلی مربوط به امنیت، یکپارچگی سیستم را به خطر میاندازد؛ پس برنامهای با این خصوصیت، بسترهای امنیتی را نشانه میگیرد.
مثالهای این مورد عبارتند از:
- برنامهای که مدل مجوزهای اندروید را نقض میکند یا اعتبارات و اطلاعات قراردادی مانند پروتکل و قرارداد OAuth را از برنامههای دیگر میرباید.
- برنامههایی که از قابلیتها و ویژگیها، برای جلوگیری از نصب یا متوقف شدن آنها، سوءاستفاده میکنند.
- برنامهای که سلینوکس (SELinux) را غیرفعال میکند.
برنامههای افزاینده یا ارتقاءدهنده سطح دسترسی که دستگاهها یا گوشیها را بدون اجازه کاربر، روت میکنند (دسترسی ریشهای و پایهای به اطلاعات دستگاه)، به عنوان برنامههای rooting طبقه بندی میشوند.
- باجافزار
طبق قوانین گوگل پلی برای انتشار برنامهها، کدی که کنترل جزئی یا گسترده دستگاه کاربر یا دادههای موجود در دستگاه را از راه دور به دست گرفته و امکان دسترسی کاربر به اطلاعات دستگاه خویش را از بین میبرد و سپس اقدام به تهدید کاربر نموده و اصطلاحاً طلب باج مینماید و کاربر در ازای لغوکنترل، باید پرداختی انجام دهد.
برخی از باج افزارها دادههای دستگاه کاربر را رمزگذاری میکنند به طوری که توسط کاربر معمولی قابل حذف نباشد و به این ترتیب، برای رمزگشایی دادهها و امکان استفاده از اطلاعات و خصوصیات دستگاه، از کاربر درخواست پرداخت مبلغی معین مینمایند. اهدافی که باجافزارها دنبال میکنند، عبارتند از:
- قفل کردن دستگاه کاربر و مطالبه پول برای بازگرداندن کنترل دستگاه به کاربر.
- رمزگذاری دادههای دستگاه و خواستار پرداخت، ظاهراً برای رمزگشایی دادهها.
- استفاده از ویژگیهای مدیر سیاسی دستگاه و جلوگیری از حذف توسط کاربر.
کدی که با دستگاهی توزیع شده است که هدف اصلی آن مدیریت دستگاه یارانهای است، میتواند از دسته باجافزارها مستثنی شود، مشروط بر اینکه، از قوانین گوگل پلی برای انتشار برنامهها، برای قفل و مدیریت ایمن، آگاهسازی کاربر و شرایط کسب رضایت کاربر، پیروی و تبعیت کنند.
- روت کردن (Rooting)
طبق قوانین گوگل پلی برای انتشار برنامهها، کدی که اقدام به روت کردن دستگاه میکند. البته بین کد روتکننده غیرمخرب و کد روتکننده مخرب، تفاوت وجود دارد. به عنوان مثال، برنامههای روتکننده غیرمخرب از قبل به کاربر اطلاع میدهند که قصد روت کردن دستگاه را دارند و سایر اقدامات مضری که بر سایر دستههای مخرب مانندPHA ها، اعمال میشود را اجرایی نمیکنند.
اما برنامههای روتکننده مخرب بدون اطلاع به کاربر، اقدام به روت کردن دستگاه مینمایند، یا اینکه از قبل در مورد روت کردن به کاربر اطلاع میدهند اما اقدامات دیگری را که برای سایر دستههای PHA انجام میشود را نیز اعمال میکنند.
- اسپم یا هرزنامه (Spam)
کدی که بدون اطلاع کاربر، اقدام به ارسال پیام به مخاطبان ثبت شده در دستگاه کاربر مینماید یا از دستگاه به عنوان یک رله، یک سوئیچ تحریکپذیر و یک منبع ارسال هرزنامه استفاده میکند.
- نرمافزارهای جاسوسی (Spyware)
طبق قوانین گوگل پلی برای انتشار برنامهها، کدی که اطلاعات شخصی کاربر را بدون اطلاع یا رضایت وی از طریق دستگاه، منتقل میکند.
به عنوان مثال، انتقال هر یک از اطلاعات زیر بدون اعلان قبلی یا به روشی که برای کاربر غیرمنتظره باشد، شواهدکافی است تا از کد یا برنامه مربوطه تحت عنوان نرمافزار جاسوسی، نام برد:
- لیست مخاطبین
- عکس یا فایلهای موجود در کارت حافظه SD
- محتوای ایمیل کاربر
- گزارش تماس
- ورود به سیستم پیام کوتاه
- تاریخچه وب یا نشانکهای مرورگر پیشفرض
- اطلاعات حاصل از دادهها یا دایرکتوریهای سایر برنامهها
رفتارها و حرکاتی که درونمایه جاسوسی و خبرگیری از کاربر را دارند نیز میتوان به عنوان جاسوسافزار تلقی کرد. به عنوان مثال، ضبط صدا یا ضبط تماسهای گرفته شده با تلفن یا سرقت اطلاعات برنامه.
- تروجان
طبق قوانین گوگل پلی برای انتشار برنامهها، کدی که به نظر میرسد بیخطر است، مانند یک بازی که فقط ادعا میکند یک بازی است، اما اقدامات نامطلوبی را علیه دستگاه کاربر و کاربر انجام میدهد.
این دسته معمولاً در ترکیب با سایر دستههای PHA استفاده میشود. یک تروجان یک جزء بیضرر و یک جزء مضر مخفی دارد. به عنوان مثال، بازیای که پیامهای خاص و گزیدای را از دستگاه کاربر در پسزمینه و بدون اطلاع کاربر ارسال میکند.
نکتهای کوتاه و مختصر درباره دسته بکدور (Backdoor)
طبق قوانین گوگل پلی برای انتشار برنامهها، طبقهبندی دسته بدافزار بکدور یا در پشتی به نحوه عملکرد کد متکی است. شرط لازم برای طبقهبندی هر کد به عنوان یک درب پشتی، این است که کد مربوطه، رفتاری را فعال کند که در صورت اجرای خودکار، کد را در یکی دیگر از دستههای بدافزار که در بالا اشاره شد، قرار دهد. به عنوان مثال، اگر برنامهای اجازه بارگذاری کد پویا را داشته باشد و کد بارگذاری شده به صورت پویا در حال استخراج پیامهای متنی باشد، به عنوان یک بدافزار در پشتی طبقهبندی میشود.
با این حال، اگر برنامهای اجرای خودکار و اختیاری کد را مجاز میداند و ما هیچ دلیلی مبنی بر این که این اجرای کد، برای انجام یک عملکرد مخرب اضافه شده است یا خیر، را نداشته باشیم؛ آنگاه برنامه به جای این که یک بدافزار درب پشتی باشد، دارای آسیبپذیری خواهد بود و از توسعهدهنده خواسته میشود که آن را اصلاح کند.
- نرمافزار ناخواسته موبایل
در چهارچوب قوانین گوگل پلی برای انتشار برنامهها، گوگل پلی معتقد است که اگر روی کاربر تمرکز کند، موارد دیگر، در جای خود و در زمان خود دنبال خواهند شد. گوگل پلی در اصول مرتبط با نرمافزار و خطمشی نرمافزار ناخواسته، توصیههای کلی نرمافزاری را ارائه میدهد که تجربهی کاربری فوقالعادهای را ارائه میدهند؛ این سیاست براساس سیاست نرمافزار ناخواسته گوگل (Google Unwanted Software) با ترسیم اصول اکوسیستم اندروید و فروشگاه گوگل پلی استوار است. نرمافزاری که قوانین گوگل پلی برای انتشار برنامهها، را نقض کند، به طور بالقوه برای تجربه کاربر مضر است و گوگل پلی برای محافظت از کاربران در برابر آن؛ دست به اقدام خواهد زد.
مطابق با آنچه در قوانین گوگل پلی برای انتشار برنامهها، در سیاست نرمافزار ناخواسته ذکر شد، متوجه شدیم که بیشتر نرمافزارهای ناخواسته یک یا چند ویژگی اصلی مشابه را نمایش میدهند:
- فریبنده است، وعده یک پیشنهاد ارزشی را میدهد که جوابگو و مناسب نیست.
- تلاش میکند تا کاربران را فریب دهد تا آن را نصب کنند.
- عملکرد اصلی و قابل توجه خود را برای کاربر بازگو نمیکند.
- سیستم کاربر را به طرق غیرمنتظرهای تحت تأثیر قرار میدهد.
- اطلاعات شخصی را بدون اطلاع کاربران، جمعآوری یا انتقال میدهد.
- اطلاعات خصوصی را بدون کنترل ایمن، جمع آوری یا انتقال میدهد (به عنوان مثال انتقال از طریق HTTPS)
- همراه با نرمافزارهای دیگر است و حضور آن فاش نمیشود.
در دستگاههای تلفن همراه، نرمافزار ناخواسته، کدی در قالب یک برنامه، باینری و غیره است. به منظور جلوگیری از نرمافزاری که برای اکوسیستم نرمافزاری مضر است یا تجربه کاربر را مختل میکند، قوانین گوگل پلی برای انتشار برنامهها، علیه کدی که این اصول را نقض کند، اقدام خواهد کرد.
در قسمت ذیل، قوانین گوگل پلی برای انتشار برنامهها، نرمافزار ناخواسته را جهت گسترش کاربستپذیری آن برای نرمافزار موبایل، بسط میدهد. گوگل پلی همچنین همانند این سیاست، به اصلاح سیاست نرمافزار ناخواسته موبایل برای رسیدگی به انواع جدید سوءاستفاده خواهد پرداخت.
رفتار شفاف و آگاهسازی دقیق
بر طبق قوانین گوگل پلی برای انتشار برنامهها، همه کدها باید برحسب قول داده شده به کاربر عمل کنند. برنامهها باید تمام قابلیتها و تعاملات ارتباطی خود با کاربر را به درستی ارائه دهند. برنامهها نباید به هیچ وجه کاربران را گیج و مبهوت سازند.
- برنامهها باید از نظر عملکرد و اهداف کاملاً واضح و شفاف باشند.
- بنابراین، به طور صریح و واضح، برای کاربر توضیح دهید که با نصب برنامه مربوطه، چه تغییراتی در سیستم ایجاد خواهد شد. به کاربران اجازه دهید همهی گزینهها و تغییرات قابلتوجه در هنگام نصب را مورد بررسی و تأیید قرار دهند.
- نرمافزار نباید وضعیت دستگاه را برای کاربر، اشتباهاً تفسیر کند یا آن را بد جلوه دهد، به عنوان مثال با ادعای اینکه سیستم در یک وضعیت امنیتی بسیار مطلوب بوده یا به ویروس آلوده است.
- از فعالیت نامعتبر طراحی شده، برای افزایش ترافیک تبلیغات و یا تبدیلات استفاده نکنید.
- قوانین گوگل پلی برای انتشار برنامهها، اجازه نمیدهد برنامهها با جعل هویت برنامه یا شخص دیگری (به عنوان مثال توسعهدهنده، شرکت یا نهاد دیگری) کاربران را گمراه کنند، یعنی اینگونه نباشد که برنامه شما تحت اختیار و منتسب به شخص یا نهادی باشد که وجود خارجی ندارد.
مثالی از موارد نقض قوانین گوگل پلی برای انتشار برنامهها در این زمینه:
- تقلب در تبلیغات
- جعل هویت
از دادههای کاربر محافظت کنید
در مورد نحوه دسترسی، استفاده، جمعآوری و اشتراک اطلاعات شخصی و حساس کاربر، شفاف و صادق باشید. استفاده از دادهها و اطلاعات کاربر در صورت لزوم باید وابسته به کلیهی خطمشیها و سیاستهای مربوط به دادههای کاربری باشد و تمامی اقدامات احتیاطی را جهت محافظت از دادهها به عمل آورد.
- به کاربران این فرصت را بدهید تا قبل از این که شما اقدام به جمعآوری و ارسال دادههای آنها از دستگاه نمایید، از جمله دادههای مربوط به حسابهای شخص ثالث، ایمیل، شماره تلفن، برنامههای نصب شده، پروندهها، موقعیت مکانی و هرگونه اطلاعات شخصی و حساس دیگر، با جمعآوری این دسته از دادهها که غالباً کاربران انتظار جمعآوری آنها را ندارند، موافقت به عمل آورده و اعلام رضایت کنند.
- طبق قوانین گوگل پلی برای انتشار برنامهها، دادههای شخصی و حساس جمعآوری شده، باید به صورت ایمن کنترل و مدیریت شود، از جمله اینکه با استفاده از رمزنگاری مدرن (به عنوان مثال از طریق HTTPS) منتقل شود.
- نرم افزار، از جمله برنامههای تلفن همراه، فقط باید دادههای شخصی و حساس کاربر را به سرورها منتقل کند زیرا مربوط به عملکرد برنامه است.
مثالی از موارد نقض قوانین گوگل پلی برای انتشار برنامهها در این زمینه:
- جمع آوری دادهها (رجوع شود به بخش نرمافزارهای جاسوسی)
- سوءاستفاده از مجوزهای محدود
از جمله سیاستهای مرتبط با دادهها و اطلاعات کاربر، میتوان به موارد زیر اشاره کرد:
- سیاست مرتبط با دادههای کاربر گوگل پلی
- سیاستها و الزامات مرتبط با دادههای کاربر سرویسهای موبایل گوگل (GMS)
- سیاست مرتبط با دادههای کاربر سرویس گوگل ای پی آی (Google API)
به تجربه کاربری موبایل آسیب نرسانید
طبق قوانین گوگل پلی برای انتشار برنامهها، تجربه کاربری باید ساده، قابل فهم و مبتنی بر انتخابهای واضح صورت گرفته توسط کاربر باشد. این تجربه باید یک پیشنهاد ارزشی مشخص به کاربر ارائه دهد و تجربه کاربری تبلیغ شده یا تجربه کاربری مطلوب را مختل نکند.
- عدم نمایش تبلیغاتی که به روشهای غیرمنتظره از جمله ایجاد اختلال یا تداخل در قابلیت استفاده از عملکرد دستگاه یا نمایش در خارج از محیط راهاندازی برنامه، در معرض دید کاربر قرار میگیرند، بدون اینکه به راحتی قابل رد شدن و یا مورد رضایت کافی کاربر باشند.
- برنامهها نباید با برنامههای دیگر تداخل داشته باشند.
- حذف نصب، در صورت لزوم، باید واضح و روشن باشد.
- نرمافزار تلفن همراه نباید از سیستم عامل دستگاه یا برنامههای دیگر تقلید کند. مانع از اعلام هشدار به کاربران از طریق برنامه یا از طریق سیستم عامل، نشوید، به ویژه مواردی که کاربر را از تغییرات سیستم عامل خود مطلع میکند.
مثالی از موارد نقض قوانین گوگل پلی برای انتشار برنامهها در این زمینه:
- تبلیغات مخل و مخرب
- استفاده غیرمجاز یا تقلید از عملکرد سیستم
چشمک پلتفرم ایرانی کسب درآمد دلاری از برنامههای موبایلی
اگر شما خواننده این مقاله، توسعه دهنده و یا توزیع کننده برنامهای هستید که قصد کسب درآمد دلاری از برنامههایتان را دارید. برای آگاهی از سیاستها و قوانین گوگل پلی برای انتشار برنامهها، همچنین روشهای کسب درآمد دلاری از برنامهتان میتوانید به سایت چشمک مراجعه کنید. برای کسب اطلاعات بیشتر با کارشناسان چشمک تماس بگیرد. همچنین اگر اپی با دست کم ۱۰ هزار نصب فعال دارید اطلاعات تماس خود و همچنین لینک به اپهایتان را برای ما بفرستید.
ایمیل چشمک: [email protected]
تلگرام چشمک: [email protected]
برای مطالعه قسمت بعدی این مقاله به این لینک مراجعه کنید.