דף זה תורגם על ידי Cloud Translation API.

תוכנה זדונית

המדיניות שלנו בנושא תוכנות זדוניות היא פשוטה: בסביבה העסקית של Android, כולל בחנות Google Play ובמכשירי המשתמשים, אין מקום להתנהגות זדונית (לדוגמה, תוכנות זדוניות). זהו עיקרון היסוד שלנו, שבעזרתו אנחנו שואפים לספק סביבה עסקית בטוחה ב-Android למשתמשים ולמכשירי Android שלהם.

תוכנה זדונית היא כל קוד שעלול לסכן את המשתמש, את הנתונים של המשתמש או את המכשיר. תוכנות זדוניות כוללות, בין היתר, אפליקציות שעלולות להזיק (PHA), תוכנות בינאריות או שינויים של framework, ומסווגות לקטגוריות כמו סוסים טרויאנים, פישינג ורוגלות. אנחנו מעדכנים ומוסיפים קטגוריות חדשות כל הזמן.

יש סוגים שונים של תוכנות זדוניות, עם יכולות שונות, אבל לכולן יש בדרך כלל אחת מהמטרות הבאות:

לפגוע בתקינות המכשיר של המשתמש.
להשתלט על המכשיר של המשתמש.
לאפשר פעולות בשליטה מרחוק כדי שהתוקף יוכל לגשת למכשיר שנפגע, להשתמש בו או לנצל אותו לרעה בדרך אחרת.
להעביר מידע אישי או פרטי כניסה מהמכשיר ללא גילוי נאות והסכמה מתאימים.
להפיץ ספאם או פקודות מהמכשיר הנפגע כדי להשפיע על מכשירים או רשתות אחרים.
לרמות את המשתמש.

שינוי באפליקציה, בקובץ בינארי או במסגרת יכול להיות מזיק, ולכן יכול ליצור התנהגות זדונית, גם אם לא הייתה כוונה לגרום נזק. הסיבה לכך היא שאפליקציות, קבצים בינאריים או שינויים במסגרת יכולים לפעול בצורה שונה בהתאם למגוון משתנים. לכן, מה שמזיק למכשיר Android אחד לא בהכרח מהווה סיכון למכשיר Android אחר. לדוגמה, מכשיר שמופעלת בו הגרסה האחרונה של Android לא מושפע מאפליקציות מזיקות שמשתמשות בממשקי API שהוצאו משימוש כדי לבצע פעולות זדוניות, אבל מכשיר שעדיין מופעלת בו גרסה מוקדמת מאוד של Android עלול להיות בסיכון. אפליקציות, קבצים בינאריים או שינויים במסגרת מסומנים כתוכנות זדוניות או כאפליקציות שעלולות להזיק (PHA) אם הם מהווים סיכון ברור לחלק ממכשירי Android ולמשתמשים או לכולם.

קטגוריות התוכנות הזדוניות שמופיעות בהמשך משקפות את האמונה הבסיסית שלנו שלמשתמשים מגיעה הזכות להבין איך המכשיר שלהם מנוצל, ושאנחנו צריכים לקדם סביבה עסקית מאובטחת שתאפשר חדשנות חזקה וחוויית משתמש מהימנה.

קטגוריות של תוכנות זדוניות

דלתות אחוריות

קוד שמאפשר לבצע במכשיר פעולות לא רצויות, שעלולות להזיק, בשליטה מרחוק.

הפעולות האלה עשויות לכלול התנהגות שתסווג את האפליקציה, הקובץ הבינארי או שינוי המסגרת לאחת מקטגוריות התוכנות הזדוניות האחרות אם הן יבוצעו באופן אוטומטי. באופן כללי, backdoor הוא תיאור של האופן שבו פעולה שעלולה להיות מזיקה יכולה להתרחש במכשיר, ולכן הוא לא תואם באופן מלא לקטגוריות כמו הונאת חיוב או תוכנת ריגול מסחרית. כתוצאה מכך, קבוצת משנה של דלתות אחוריות, בנסיבות מסוימות, מטופלת על ידי Google Play Protect כפגיעות.

הערה: הסיווג של קטגוריית התוכנות הזדוניות Backdoor מתבסס על אופן הפעולה של הקוד. תנאי הכרחי לסיווג של קוד כדלת אחורית הוא שהקוד מאפשר התנהגות שתסווג אותו כאחת מקטגוריות התוכנות הזדוניות האחרות אם הוא יופעל באופן אוטומטי. לדוגמה, אם אפליקציה מאפשרת טעינה דינמית של קוד, והקוד שנטען באופן דינמי מחלץ הודעות טקסט, היא תסווג כתוכנת backdoor זדונית.

עם זאת, אם אפליקציה מאפשרת הפעלה של קוד שרירותי ואין לנו סיבה להאמין שהפעלת הקוד הזו נוספה כדי לבצע התנהגות זדונית, האפליקציה תיחשב כבעלת פגיעות, ולא כתוכנה זדונית של דלת אחורית, והמפתח יתבקש לתקן אותה.

הונאת חיובים

קוד שמחייב את המשתמש באופן אוטומטי בצורה מטעה בכוונה.

הונאות בחיוב דרך ספק הסלולר מתחלקות להונאות SMS, הונאות שיחות והונאות תשלום קבוע.

הונאת SMS

קוד שמחייב משתמשים על שליחת SMS בתשלום בלי הסכמתם, או שמנסה להסתיר את פעילות ה-SMS שלו על ידי הסתרת הסכמי גילוי נאות או הודעות SMS ממפעיל הסלולר, שמודיע למשתמש על חיובים או מאשר מינויים.

חלק מהקוד, למרות שהוא חושף באופן טכני את התנהגות השליחה של הודעות SMS, מציג התנהגות נוספת שמאפשרת הונאות באמצעות SMS. דוגמאות לכך כוללות: הסתרת חלקים מהסכם הגילוי הנאות מהמשתמש, כך שהם לא קריאים, והסתרה מותנית של הודעות SMS מהספק הסלולרי שמודיעות למשתמש על חיובים או מאשרות מינוי.

הונאת שיחות

קוד שמחייב משתמשים על ידי ביצוע שיחות למספרי פרימיום ללא הסכמת המשתמש.

הונאת תשלום קבוע

קוד שנועד לרמות משתמשים כדי לגרום להם להירשם למינוי או לרכוש תוכן דרך חשבון הטלפון הנייד שלהם.

הונאת תשלום כוללת כל סוג של חיוב, למעט הודעות SMS ושיחות פרימיום. דוגמאות לכך כוללות חיוב ישיר של ספק, נקודת גישה אלחוטית (WAP) והעברת זמן אוויר בנייד. הונאת WAP היא אחד מסוגי ההונאה הנפוצים ביותר שקשורים לחיובים על שיחות. הונאה ב-WAP יכולה לכלול הטעיה של משתמשים ללחוץ על לחצן ב-WebView שנטען בשקט ושקוף. כשמבצעים את הפעולה, מתחיל מינוי חוזר, ולעתים קרובות הודעת ה-SMS או האימייל לאישור נחטפת כדי למנוע מהמשתמשים לשים לב לעסקה הפיננסית.

תוכנות מעקב

קוד שאוסף נתוני משתמש אישיים או רגישים ממכשיר ומעביר את הנתונים האלה לצד שלישי (ארגון או אדם פרטי אחר) למטרות מעקב.

באפליקציות חובה לכלול גילוי נאות מתאים במקום בולט ולקבל הסכמה כנדרש לפי המדיניות בנושא נתוני משתמשים.

אפליקציות שמיועדות באופן בלעדי למעקב אחרי אדם אחר, למשל הורים שעוקבים אחרי הילדים שלהם או הנהלה של ארגון שעוקבת אחרי עובדים מסוימים, הן האפליקציות היחידות למעקב שמותרות, בתנאי שהן עומדות באופן מלא בדרישות שמתוארות בהמשך המסמך הזה. אסור להשתמש באפליקציות האלה כדי לעקוב אחרי אנשים אחרים (לדוגמה, בני זוג), גם אם אותם אנשים מודעים לכך ונותנים לכך הרשאה וגם אם מוצגת התראה קבועה בנוגע לכך. הסימון IsMonitoringTool חייב להופיע בקובץ המניפסט של האפליקציות האלה כדי לסווג אותן בצורה הולמת כאפליקציות מעקב.

אפליקציות למעקב צריכות לעמוד בדרישות הבאות:

אין להציג את האפליקציות כפתרון לריגול או למעקב חשאי.
אסור להסתיר או להסוות את פעולת המעקב של האפליקציה, ואסור לנסות להטעות משתמשים לגבי פונקציונליות כזו.
אפליקציות מהסוג הזה צריכות להיות מסומנות בסמל שמזהה אותן בבירור, וכל עוד הן פועלות המשתמשים צריכים לראות התראה שמיידעת אותם על כך.
חובה לכלול בתיאור האפליקציה בחנות Google Play הצהרה בנוגע לפונקציונליות המעקב.
אסור לכלול באפליקציות ובדפי אפליקציות ב-Google Play אמצעים להפעלת פונקציונליות שמפירה את התנאים האלה או אמצעים המאפשרים גישה לפונקציונליות כזו, למשל קישור לחבילת APK שמתארחת מחוץ ל-Google Play ולא עומדת בדרישות.
אפליקציות חייבות לציית לכל הדינים החלים. האחריות לבדוק את החוקיות של האפליקציה בלוקאל שבו ברצונך להפיץ אותה מוטלת עליך בלבד.

מידע נוסף זמין במאמר במרכז העזרה בנושא השימוש בסימון isMonitoringTool.

התקפת מניעת שירות (DoS)

קוד שמבצע תקיפה מסוג מניעת שירות (DoS) או שמהווה חלק מתקיפת DoS מבוזרת נגד מערכות ומשאבים אחרים, בלי שהמשתמש יודע על כך.

לדוגמה, זה יכול לקרות על ידי שליחת נפח גבוה של בקשות HTTP כדי ליצור עומס מוגזם על שרתים מרוחקים.

מורידות תוכן זדוני

קוד שלא מוגדר כ-PHA, אבל מוריד PHA אחרות.

קוד יכול להיות תוכנה להורדת תוכנות מזיקות אם:

יש סיבה להניח שהיא נוצרה כדי להפיץ PHA והיא הורידה PHA או מכילה קוד שיכול להוריד ולהתקין אפליקציות; או
לפחות 5% מהאפליקציות שהמשתמש הוריד הן אפליקציות שעלולות להזיק (PHA), עם סף מינימלי של 500 הורדות אפליקציות שנצפו (25 הורדות של אפליקציות PHA שנצפו).

דפדפנים עיקריים ואפליקציות לשיתוף קבצים לא נחשבים כתוכנות להורדה עוינות, כל עוד:

הם לא מפעילים הורדות ללא אינטראקציה עם המשתמשים.
כל ההורדות של נתוני PHA מתבצעות ביוזמת משתמשים שהביעו הסכמה.

איומים במכשירים שאין בהם מערכת Android

קוד שמכיל איומים על מערכות שאינן Android.

האפליקציות האלה לא יכולות לגרום נזק למשתמש או למכשיר Android, אבל הן מכילות רכיבים שעלולים להזיק לפלטפורמות אחרות.

פישינג

קוד שמתחזה למקור מהימן, מבקש ממישהו את פרטי האימות או פרטי החיוב שלו ושולח את הנתונים לצד שלישי. הקטגוריה הזו חלה גם על קוד שמיירט את השידור של פרטי הכניסה של המשתמשים במעבר.

יעדים נפוצים של פישינג כוללים פרטי כניסה לבנקאות, מספרי כרטיסי אשראי ופרטי כניסה לחשבונות אונליין ברשתות חברתיות ובמשחקים.

ניצול לרעה של הרשאות מורחבות

קוד שפוגע בתקינות המערכת על ידי פריצה של ארגז החול (Sandbox) של האפליקציה, קבלת הרשאות מורחבות או שינוי או השבתה של הגישה לפונקציות ליבה שקשורות לאבטחה.

דוגמאות:

אפליקציה שמפרה את מודל ההרשאות של Android או גונבת פרטי כניסה (כמו טוקנים של OAuth) מאפליקציות אחרות.
אפליקציות שמנצלות לרעה תכונות כדי למנוע את ההסרה או העצירה שלהן.
אפליקציה שמשביתה את SELinux.

אפליקציות להעלאת רמת ההרשאות שמבצעות Rooting במכשירים ללא הרשאת המשתמש מסווגות כאפליקציות Rooting.

תוכנת כופר

קוד שמשתלט באופן חלקי או מלא על מכשיר או על נתונים במכשיר, ודורש מהמשתמש לבצע תשלום או פעולה כדי להפסיק את השליטה.

חלק מתוכנות הכופר מצפינות את הנתונים במכשיר ודורשות תשלום כדי לפענח את הנתונים או כדי להשתמש בתכונות של ניהול המכשיר, כך שמשתמש רגיל לא יכול להסיר אותן. דוגמאות:

נעילת משתמש מחוץ למכשיר שלו ודרישת כסף כדי לשחזר את השליטה של המשתמש.
הצפנת נתונים במכשיר ודרישת תשלום, לכאורה כדי לפענח את הנתונים.
שימוש בתכונות של מנהל מדיניות המכשיר וחסימת ההסרה על ידי המשתמש.

קוד שמופץ עם המכשיר ומטרתו העיקרית היא ניהול מכשירים מסובסדים עשוי להיות מוחרג מהקטגוריה של תוכנות כופר, בתנאי שהוא עומד בדרישות של נעילה וניהול מאובטחים, ושל גילוי נאות והסכמה של המשתמשים.

הפעלת תהליך רוט (Root)

קוד שמבצע Rooting במכשיר.

יש הבדל בין קוד גישת Root לא זדוני לבין קוד גישת Root זדוני. לדוגמה, אפליקציות לביצוע Root מאפשרות למשתמש לדעת מראש שהן הולכות לבצע Root במכשיר, והן לא מבצעות פעולות אחרות שעלולות להיות מזיקות שחלות על קטגוריות אחרות של PHA.

אפליקציות זדוניות לביצוע Rooting לא מיידעות את המשתמש שהן עומדות לבצע Rooting במכשיר, או שהן מיידעות את המשתמש מראש על ה-Rooting אבל גם מבצעות פעולות אחרות שרלוונטיות לקטגוריות אחרות של PHA.

ספאם

קוד ששולח הודעות לא רצויות לאנשי הקשר של המשתמש או שמשתמש במכשיר כשרת ממסר לספאם באימייל.

רוגלה:

תוכנת ריגול היא אפליקציה, קוד או התנהגות זדוניים שאוספים, מעבירים או משתפים נתוני משתמש או נתוני מכשיר שלא קשורים לפונקציונליות שתואמת למדיניות.

קוד או התנהגויות זדוניות שיכולים להיחשב כריגול אחרי המשתמש או כהעברת נתונים ללא הודעה או הסכמה מתאימות נחשבים גם הם לתוכנות ריגול.

לדוגמה, הפרות שקשורות לתוכנות ריגול כוללות, בין היתר:

הקלטת אודיו או הקלטת שיחות שמתקבלות בטלפון
גניבת נתוני אפליקציה
אפליקציה עם קוד זדוני של צד שלישי (לדוגמה, SDK) שמעביר נתונים מהמכשיר באופן לא צפוי למשתמש ו/או ללא הודעה או הסכמה מתאימות מהמשתמש.

סוס טרויאני

קוד שנראה תמים, כמו משחק שנטען שהוא רק משחק, אבל מבצע פעולות לא רצויות נגד המשתמש.

הסיווג הזה משמש בדרך כלל בשילוב עם קטגוריות אחרות של PHA. סוס טרויאני מכיל רכיב לא מזיק ורכיב מזיק מוסתר. לדוגמה, משחק ששולח הודעות SMS בתשלום מהמכשיר של המשתמש ברקע וללא ידיעתו.

הערה לגבי אפליקציות לא נפוצות

אפליקציות חדשות ונדירות יכולות להיות מסווגות כלא נפוצות אם ל-Google Play Protect אין מספיק מידע כדי לסווג אותן כבטוחות. זה לא אומר שהאפליקציה מזיקה, אבל בלי בדיקה נוספת אי אפשר לקבוע שהיא בטוחה.

תוכנות מסוכנות

אפליקציה שמשתמשת במגוון שיטות התחמקות כדי לספק למשתמש תכונות שונות או מזויפות. אפליקציות כאלה מסוות את עצמן כאפליקציות או כמשחקים לגיטימיים כדי להיחשב כבלתי מזיקות וכך לחמוק ממערכות הזיהוי של חנויות האפליקציות. בנוסף, האפליקציות האלה משתמשות בטכניקות כמו ערפול קוד (obfuscation), טעינת קוד דינמית או הסוואה כדי להסתיר תוכן שעלול להיות מזיק.

תוכנות Riskware דומות לקטגוריות אחרות של PHA, במיוחד לטרויאנים, וההבדל העיקרי ביניהן הוא הטכניקות שמשמשות להסתרת הפעילות הזדונית.

תוכנה לא רצויה לנייד (MUwS)

‫Google מגדירה תוכנה לא רצויה (UwS) כאפליקציות שהן לא תוכנות זדוניות במובן המלא של המילה, אבל הן מזיקות לסביבת התוכנה. תוכנה לא רצויה לנייד (MUwS) מתחזה לאפליקציות אחרות או אוספת לפחות אחד מהפרטים הבאים ללא הסכמת המשתמש:

מספר הטלפון של המכשיר
כתובת אימייל ראשית
מידע על אפליקציות מותקנות
מידע על חשבונות של צד שלישי

המעקב אחרי MUwS מתבצע בנפרד מהמעקב אחרי תוכנות זדוניות. כאן אפשר לראות את הקטגוריות של MUwS.

אזהרות של Google Play Protect

כש-Google Play Protect מזהה הפרה של מדיניות התוכנות הזדוניות, מוצגת למשתמש אזהרה. כאן אפשר למצוא מחרוזות אזהרה לכל הפרה.

תוכנה זדונית קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.