Phần mềm độc hại và phần mềm không mong muốn

30/11/2019

Google sẽ kiểm tra các trang web để xem chúng có lưu trữ các tệp thực thi có thể tải xuống ảnh hưởng xấu đến trải nghiệm người dùng hay không. Bạn có thể thấy danh sách các tệp đáng ngờ được lưu trữ trên trang web của bạn trong báo cáo Vấn đề bảo mật.

MỞ BÁO CÁO VẤN ĐỀ BẢO MẬT

Tổng quan

Phần mềm độc hại là gì?

Phần mềm độc hại là bất kỳ phần mềm hay ứng dụng dành cho thiết bị di động nào được thiết kế đặc biệt để gây hại máy tính, thiết bị di động, phần mềm mà máy tính hay thiết bị đang chạy hoặc người dùng. Phần mềm độc hại có hành vi nguy hiểm mà có thể bao gồm cài đặt phần mềm mà không cần sự đồng ý của người dùng và cài đặt phần mềm độc hại như virút. Quản trị viên web đôi khi không nhận ra rằng các tệp có thể tải xuống của họ được xem là phần mềm độc hại, do đó các tệp nhị phân này có thể được vô tình lưu trữ.

Phần mềm không mong muốn là gì?

Phần mềm không mong muốn là một tệp thực thi hay ứng dụng dành cho thiết bị di động tham gia vào hành vi lừa đảo, không mong muốn hoặc gây ảnh hưởng tiêu cực đến trải nghiệm máy tính hoặc duyệt của người dùng. Ví dụ bao gồm phần mềm chuyển trang chủ hoặc các cài đặt trình duyệt khác sang trang chủ hoặc cài đặt mà bạn không muốn, hoặc các ứng dụng làm rò rỉ thông tin riêng tư và cá nhân mà không thông báo đúng cách.

Nguyên tắc

Đảm bảo rằng bạn không vi phạm Chính sách về phần mềm không mong muốn và tuân thủ nguyên tắc được nêu ở đây. Mặc dù danh sách này không hoàn chỉnh, các hành vi này có thể khiến ứng dụng và trang web hiển thị cảnh báo cho người dùng khi tải xuống và truy cập. Bạn có thể thấy danh sách các tệp đáng ngờ được lưu trữ trên trang web của bạn trong báo cáo Vấn đề bảo mật.

Không xuyên tạc bản thân

  • Cung cấp thông tin chính xác cho người dùng về mục đích và cơ chế của một phần mềm. Người dùng phải chủ định tải xuống phần mềm, khi đã biết chính xác những gì sẽ được tải xuống, bằng cách nhấp vào quảng cáo đúng sự thực trong đó cung cấp thông tin rõ ràng cho người dùng về những gì sẽ được tải xuống. Các quảng cáo dẫn người dùng đến tệp tải xuống không được lừa gạt hay sai sự thực, chẳng hạn như: 
    • Quảng cáo tuyên bố sẽ cập nhật Flash nếu chương trình tải xuống không liên quan đến Flash.
    • Quảng cáo chỉ có chữ "Tải xuống" hay "Phát" mà không xác định phần mềm mà nó đang quảng cáo.
    • Nút "Phát" dẫn đến tệp tải xuống.
    • Quảng cáo bắt chước giao diện của trang web của nhà xuất bản và lừa gạt rằng sẽ cung cấp nội dung (ví dụ một bộ phim) nhưng thay vào đó dẫn đến phần mềm không liên quan.
    • Đọc về Kỹ nghệ xã hội trong Blog về bảo mật trực tuyến của chúng tôi.
  • Hoạt động như được quảng cáo. Chương trình của bạn phải nêu rõ chức năng và ý định của nó. Nếu chương trình của bạn thu thập dữ liệu người dùng hoặc đưa quảng cáo vào trình duyệt của người dùng, hãy nêu rõ các hành vi này bằng ngôn từ rõ ràng và không trình bày chúng như các tính năng quan trọng.
  • Sử dụng chứng thực chỉ khi được ủy quyền. Không sử dụng biểu trưng của công ty theo cách trái phép để hợp pháp hóa hay chứng thực cho một sản phẩm. Không sử dụng biểu trưng của chính phủ khi chưa được ủy quyền. 
  • Không đe dọa người dùng. Phần mềm không nên xuyên tạc về tình trạng của thiết bị của người dùng, ví dụ bằng cách tuyên bố rằng hệ thống đang gặp tình trạng nghiêm trọng về bảo mật hoặc bị nhiễm virus. Phần mềm không được tuyên bố sẽ cung cấp dịch vụ (ví dụ như "tăng tốc PC của bạn") mà nó không hay không thể cung cấp. Ví dụ: trình làm sạch và tối ưu hóa máy tính "miễn phí" không được quảng cáo là miễn phí trừ khi các dịch vụ và thành phần được quảng cáo không yêu cầu khoản thanh toán nào.

Nguyên tắc phần mềm

  • Sử dụng API cài đặt Google nếu chương trình của bạn thay đổi cài đặt Chrome. Bất kỳ thay đổi nào đối với cài đặt tìm kiếm, trang khởi động hay trang tab mới mặc định của người dùng đều phải được thực hiện qua API ghi đè cài đặt Chrome và điều này yêu cầu sử dụng tiện ích Chrome cũng như quy trình cài đặt tiện ích phù hợp. 
  • Cho phép hộp thoại của trình duyệt và hệ điều hành cảnh báo cho người dùng như mong muốn. Không chặn cảnh báo cho người dùng từ trình duyệt hay hệ điều hành, đặc biệt là những cảnh báo thông báo cho người dùng về thay đổi đối với trình duyệt hay hệ điều hành của họ. 
  • Chúng tôi khuyên bạn nên có chữ ký số. Mặc dù tệp nhị phân không có chữ ký không phải lý do để gắn cờ tệp nhị phân của bạn là phần mềm không mong muốn, chúng tôi khuyến nghị các chương trình nên có chữ ký số hợp lệ đã được xác minh được cấp bởi cơ quan chữ ký số, trong đó cung cấp thông tin có thể xác minh về nhà xuất bản.
  • Không giảm các biện pháp bảo vệ và bảo mật được cung cấp bởi kết nối TLS/SSL. Một ứng dụng không được cài đặt chứng chỉ từ tổ chức phát hành chứng chỉ cấp cơ sở. Nó không được chặn kết nối SSL/TLS trừ khi được thiết kế để chuyên gia gỡ lỗi hay điều tra phần mềm. Để biết thêm chi tiết, xem bài đăng trên blog Google Security liên quan.
  • Bảo vệ quyền riêng tư của người dùng. Phần mềm, bao gồm ứng dụng dành cho thiết bị di động, chỉ được truyền dữ liệu người dùng riêng tư đến máy chủ nếu nó liên quan đến chức năng của ứng dụng và các hoạt động truyền này phải được thông báo cho người dùng và mã hóa.

Nguyên tắc tiện ích Chrome

  • Tất cả các tiện ích cần phải được công bố và cài đặt trong Chrome để tuân thủ chính sách. Tiện ích phải được lưu trữ trong Cửa hàng Chrome trực tuyến, bị vô hiệu hóa theo mặc định và tuân thủ các chính sách của Cửa hàng Chrome trực tuyến (bao gồm chính sách về một mục đích). Các tiện ích được cài đặt từ một chương trình phải sử dụng quy trình cài đặt tiện ích Chrome được phê duyệt, quy trình này sẽ nhắc người dùng kích hoạt chúng trong Chrome. Tiện ích không được chặn hộp thoại của Chrome cảnh báo cho người dùng về các thay đổi với cài đặt.
    Chrome popup requesting approval to install an extension.
  • Hướng dẫn người dùng về cách gỡ Tiện ích Chrome. Trải nghiệm người dùng tốt là khi người dùng gỡ cài đặt một chương trình thì tất cả mọi thứ được cài đặt kèm với chương trình đó cũng bị gỡ cài đặt. Quy trình gỡ cài đặt phải bao gồm hướng dẫn cho người dùng để họ tự vô hiệu hóa và xóa tiện ích.

Nguyên tắc ứng dụng dành cho thiết bị di động

  • Thông báo cho người dùng về ý định thu thập dữ liệu của họ.  Cung cấp cho người dùng cơ hội đồng ý với việc thu thập dữ liệu của họ trước khi bắt đầu thu thập dữ liệu, bao gồm dữ liệu về các tài khoản bên thứ ba, ứng dụng đã cài đặt và các tệp trên thiết bị di động. Dữ liệu người dùng cá nhân hay nhạy cảm được thu thập phải được xử lý một cách bảo mật, bao gồm việc được truyền đi bằng phương pháp mã hóa hiện đại (ví dụ: qua HTTPS). Đối với các ứng dụng không phải của Play, bạn phải thông báo cho người dùng về việc thu thập dữ liệu trong ứng dụng. Đối với các ứng dụng Google Play, thông báo phải tuân thủ chính sách của Play. Không thu thập dữ liệu ngoài mục đích sử dụng ứng dụng đã công bố.

  • Không mạo danh một thương hiệu hoặc ứng dụng khác. Không sử dụng hình ảnh hay thiết kế không phù hợp hoặc không được ủy quyền tương tự với một thương hiệu hay ứng dụng khác theo cách mà sẽ khiến người dùng nhầm lẫn.

  • Duy trì tất cả nội dung trong bối cảnh ứng dụng. Ứng dụng không được gây trở ngại cho các ứng dụng khác hoặc hiển thị quảng cáo hay nội dung bổ sung cho người dùng ngoài bối cảnh hay chức năng của chính ứng dụng.

  • Ứng dụng phải cung cấp tính năng đã hứa hẹn với người dùng. Tất cả chức năng được quảng cáo phải khả dụng với người dùng trong ứng dụng. Ứng dụng có thể cập nhật nội dung ứng dụng nhưng không được tải xuống ứng dụng bổ sung khi chưa được sự chấp thuận của người dùng.

  • Minh bạch về hành vi. Ứng dụng không được gỡ cài đặt hoặc thay thế các ứng dụng khác hay lối tắt của chúng, trừ khi đó là mục đích đã nêu của ứng dụng. Quá trình gỡ cài đặt phải rõ ràng và hoàn chỉnh. Ứng dụng không được bắt chước lời nhắc từ HĐH của thiết bị hay các ứng dụng khác.

Khắc phục vấn đề

Đảm bảo rằng trang web hay ứng dụng của bạn tuân thủ nguyên tắc nêu trên, sau đó làm theo các bước bổ sung bên dưới.

Cảnh báo về phần mềm độc hại hoặc phần mềm không mong muốn

Bạn có thể thấy phiền toái khi biết rằng một trong các tệp có thể tải xuống của bạn có chứa phần mềm độc hại hoặc phần mềm không mong muốn và chúng tôi muốn giúp bạn giải quyết vấn đề này. Chúng tôi không thể cung cấp hướng dẫn đầy đủ để giải quyết mọi tình huống, nhưng các đề xuất sau đây sẽ giúp bạn cô lập vấn đề một cách nhanh chóng. Để có thông tin phản hồi cụ thể về phần mềm của bạn, vui lòng tham khảo Diễn đàn trợ giúp quản trị trang web.

Nếu ứng dụng dành cho thiết bị di động của bạn đang hiển thị cảnh báo, đọc ở đây về xác minh ứng dụng và kháng nghị.

Sau khi bạn đảm bảo rằng chương trình có thể tải xuống của bạn tuân thủ nguyên tắc sau đây, bạn có thể yêu cầu xem xét trạng thái của bạn. Quá trình xem xét có thể mất 2-3 ngày để hoàn thành. Dưới đây là nguyên tắc chung về phương pháp phần mềm tốt, nhưng để xem ví dụ cụ thể hơn, vui lòng xem Các lỗi vi phạm thường gặp của Chính sách phần mềm không mong muốn.

  • Bắt đầu với phần mềm diệt virút. Sử dụng phần mềm diệt virút để quét các tệp nhị phân và nội dung khác được lưu trữ trên trang web của bạn. Phần mềm diệt virút tìm thấy nhiều loại phần mềm độc hại và phần mềm không mong muốn, nhưng không may là không phải tất cả. Việc gửi phần mềm của bạn cho một chương trình diệt virút (hoặc dịch vụ diệt virút tổng hợp, chẳng hạn như VirusTotal) sẽ cung cấp cho bạn chỉ báo về các vấn đề tiềm ẩn với phần mềm của bạn. Google Safe Browsing áp dụng tiêu chí riêng của mình để xác định xem một chương trình hay tệp nhị phân có phải là phần mềm không mong muốn hoặc phần mềm độc hại hay không.
  • Giải thích công khai và rõ ràng cho người dùng về việc phần mềm của bạn sẽ thực hiện những thay đổi nào đối với trình duyệt và hệ thống. Cho phép người dùng xem xét và phê duyệt tất cả các tùy chọn cài đặt và thay đổi quan trọng. Giao diện người dùng chính của chương trình của bạn nên công bố rõ ràng các thành phần của tệp nhị phân và chức năng chính của chúng. Tệp nhị phân phải cung cấp cho người dùng một cách dễ dàng để bỏ qua việc cài đặt các thành phần đi kèm. Ví dụ: việc ẩn các tùy chọn hoặc sử dụng văn bản chuyển sang màu xám không phải là cách công bố tốt.
  • Bảo vệ dữ liệu người dùng. Nếu chương trình hay ứng dụng dành cho thiết bị di động của bạn thu thập và truyền đi dữ liệu của người dùng, dữ liệu được truyền chỉ được liên quan đến mục đích đã nêu của chương trình, và việc thu thập và truyền dữ liệu phải được thông báo rõ ràng cho người dùng. Quá trình truyền dữ liệu người dùng phải được mã hóa.
  • Nếu tệp nhị phân của bạn cài đặt một tiện ích bổ sung của trình duyệt hoặc làm thay đổi các tùy chọn cài đặt mặc định của trình duyệt, tệp phải tuân theo quy trình cài đặt và API được trình duyệt hỗ trợ. Ví dụ: nếu tệp nhị phân cài đặt một tiện ích Chrome, tiện ích phải được lưu trữ trong cửa hàng Chrome trực tuyến và tuân thủ Chính sách chương trình nhà phát triển của Chrome. Tệp nhị phân của bạn sẽ bị xác định là phần mềm độc hại nếu tệp cài đặt một tiện ích Chrome vi phạm chính sách Tùy chọn phân phối tiện ích thay thế của Chrome.
  • Không gây hại. Tệp nhị phân của bạn phải tôn trọng và không gây hại đến trải nghiệm duyệt của người dùng. Đảm bảo rằng các tệp nhị phân có thể tải xuống của bạn tuân thủ các chính sách chung sau đây:
    • Không làm hỏng chức năng đặt lại của trình duyệt. Đọc về nút đặt lại cài đặt trình duyệt trong Chrome.
    • Không bỏ qua hoặc ngăn chặn kiểm soát giao diện người dùng của hệ điều hành và trình duyệt đối với thay đổi cài đặt. Chương trình của bạn nên cung cấp cho người dùng thông báo và kiểm soát thích hợp đối với thay đổi cài đặt xảy ra trong trình duyệt. Sử dụng API cài đặt để thay đổi các tùy chọn cài đặt của Chrome (xem bài đăng Blog Chromium này).
    • Sử dụng tiện ích để thay đổi chức năng của Google Chrome, thay vì khiến hành vi của trình duyệt thay đổi qua các biện pháp lập trình khác. Ví dụ: chương trình của bạn không được sử dụng DLL (thư viện liên kết động) để chèn quảng cáo trong trình duyệt, không được triển khai proxy chặn lưu lượng truy cập, không được sử dụng một Nhà cung cấp dịch vụ phân lớp để chặn hành động của người dùng hoặc chèn giao diện người dùng mới vào tất cả các trang web bằng cách vá tệp nhị phân Chrome.
    • Mô tả sản phẩm và thành phần không được hù dọa người dùng và/hoặc đưa ra những tuyên bố sai lệch, gây hiểu nhầm. Ví dụ: sản phẩm của bạn không được đưa ra tuyên bố sai lệch về việc hệ thống đang gặp tình trạng nguy cấp về bảo mật hoặc bị nhiễm virút. Các chương trình như trình xóa registry không được hiển thị các thông điệp cảnh báo về tình trạng máy tính hoặc thiết bị của người dùng và tuyên bố rằng họ có thể tối ưu hóa máy tính của người dùng.
    • Cung cấp quy trình gỡ cài đặt dễ tìm, đơn giản và không gây lo lắng. Chương trình của bạn phải có hướng dẫn gắn nhãn rõ ràng về cách đưa trình duyệt và/hoặc hệ thống trở về cài đặt trước đó. Trình gỡ cài đặt phải gỡ bỏ tất cả các thành phần và không ngăn cản người dùng tiếp tục quá trình gỡ cài đặt, chẳng hạn bằng cách tuyên bố rằng việc gỡ cài đặt phần mềm có thể có ảnh hưởng xấu đến tính riêng tư hay hệ thống của người dùng.
  • Có thành phần đi kèm tốt. Nếu phần mềm của bạn có các thành phần phần mềm đi kèm khác, bạn có trách nhiệm đảm bảo rằng không thành phần nào trong số này vi phạm bất kỳ đề xuất nào nói trên.

Cảnh báo "Được tải xuống theo cách khác thường"

Nếu Google Safe Browsing chưa thấy một tệp nhị phân trước đó, Chrome có thể cảnh báo rằng nó được tải xuống theo cách khác thường và có thể gây nguy hiểm. Trong các trường hợp này, cảnh báo được tự động gỡ bỏ nếu Google Safe Browsing xác minh rằng tệp không có hại.

Nếu trang web của bạn hiển thị cảnh báo tải xuống khác thường, bạn cũng có thể yêu cầu xem xét trong Search Console.

* Nguồn: Google Search Console