联想终端软件安装质量检测和安全审查标准

联想终端软件安装质量检测和安全审查标准

1.总则

为了保护联想移动终端用户的安全与利益、保障联想移动终端运行的稳定以及保障第三方来源软件在联想终端设备上具备良好的使用体验,联想统一对第三方来源的移动应用软件及下载渠道(含提供应用下载功能的第三方应用)的下载、安装等行为进行检测和管理。

联想终端用户开启相关功能后,联想会在终端用户下载、安装应用或者从渠道下载、安装应用的过程中,依据检测情况和评估的风险程度,进行相应的提示和管控操作。(包括且不限于:提示风险、提示免责声明、特定情况下限制下载或安装、推荐用户安装联想乐商店已检测版本。)

2.第三方移动智能终端应用软件的检测和管理标准

2.1 兼容性和稳定性要求

第三方应用必须符合联想移动终端的兼容性和稳定性。若应用未告知兼容性和稳定性是否达标,或出现以下兼容性和稳定性不达标情况,联想会在应用下载或安装过程中,向用户进行相应的提示和管控操作。(包括且不限于:提示风险、提示免责声明、特定情况下限制下载或安装、推荐用户安装联想乐商店已检测版本。)
1)应用频繁出现崩溃、闪退、停止运行等非正常运行现象;
2)应用无法正常安装、启动、升级、卸载;
3)应用的功能失效,或点击后无响应,或程序本身存在错误;
4)应用的分辨率适配未达标,导致画面失真、模糊或像素化;
5)支持横竖屏方向的应用,在两种方向所展现的功能不等同;
6)支持帐户登录功能的应用无法正常登录;
7)应用在联想终端上,给系统造成重启、死机等,导致不能正常使用的影响;
8)应用软件的版本不是最新稳定版本,或低于联想乐商店检测到的同包名应用版本。

2.2 性能要求

第三方应用必须符合联想移动终端的性能要求。若应用未告知性能是否达标,或出现以下性能不达标情况,联想会在应用下载或安装过程中,向用户进行相应的提示和管控操作。(包括且不限于:提示风险、提示免责声明、特定情况下限制下载或安装、推荐用户安装联想乐商店已检测版本。)
1)应用在冷启动时,加载时间超过1000毫秒,且未向用户提供响应反馈(进度提醒或同类提示信息),不符合联想终端的性能标准;
2)应用在热启动时,加载时间超过500毫秒,且未向用户提供响应反馈(进度提醒或同类提示信息),不符合联想终端的性能标准;
3)应用在页面跳转、功能切换等情况时, 加载时间超过600毫秒,不符合联想终端的性能标准;
4)应用运行时占用CPU过高或者异常,导致联想终端卡顿、ANR现象;
5)应用运行时占用内存过高或者异常,导致联想终端卡顿、ANR现象。

2.3 功耗要求

第三方应用必须符合联想移动终端的功耗要求。若应用未告知功耗是否达标,或出现以下功耗不达标情况,联想会在应用下载或安装过程中,向用户进行相应的提示和管控操作。(包括且不限于:提示风险、提示免责声明、特定情况下限制下载或安装、推荐用户安装联想乐商店已检测版本。)
1)应用转入后台时,有服务处于运行状态(该服务与应用核心功能相关且必要的除外);
2)应用转入后台时,未主动释放占用资源;
3)应用进入后台后,未经用户选择,私自启动;
4)应用进入后台后,有持锁行为;
5)应用进入后台后,占用设备资源(比如,蓝牙,GPS等);

2.4 安全要求

第三方应用必须符合联想移动终端的安全要求。若应用未告知安全是否达标,或出现以下安全不达标情况,联想会在应用下载或安装过程中,向用户进行相应的提示和管控操作。(包括且不限于:提示风险、提示免责声明、特定情况下限制下载或安装、推荐用户安装联想乐商店已检测版本。)
1)应用携带病毒、木马、后门等侵害用户的代码(包括代码等可疑行为);
2)应用有恶意吸费行为、隐形扣费行为、误导用户付费行为;

3)除支持核心功能而需要的最低级别权限外,应用擅自申请其他无关的权限;
4)应用数据在其存储、传输、备份、恢复、调试等过程中,存在泄漏、泄密风险;
5)应用影响手机功能,包括但不限于:安装后自动修改系统默认配置且用户无法修改,功能键失灵等。
6)同名应用软件,由于支付、推送等SDK不同,或由于渠道等因素进行差异化处理后,未在乐商店进行过安全检测;
7)应用的签名与乐商店检测过的同包名应用不一致;
8)应用包含恶意拉起其他应用行为;

3. 第三方移动智能终端应用软件下载渠道的检测和管理标准

3.1 安全要求

第三方应用下载渠道必须具备完善的应用安全检测能力,无论是独立拥有完善的应用安全检测机制,还是和安全检测公司/机构达成检测合作。若应用下载渠道的安全检测机制不能满足安全要求,或未告知是否满足要求,联想会在应用下载或安装过程中,向用户进行相应的提示和管控操作。(包括且不限于:提示风险、提示免责声明、特定情况下限制下载或安装、推荐用户安装联想乐商店已检测版本。)

应用下载渠道的安全检测机制需符合以下标准:
1)渠道在架应用的安全检测记录可回溯,上架时检测通过率100%
2)在渠道下载的应用,在第三方安全检测的问题检出率低于2%
3)各终端厂商及相关政府部门或安全检测公司/机构通报的风险与高危应用,在此渠道7日内下架处理率100%

3.2 兼容性要求

第三方应用下载渠道必须具备针对联想终端的应用兼容性检测能力,无论是独立拥有此项兼容性检测能力,还是和应用适配检测平台达成合作。若应用下载渠道的兼容性检测机制不能满足兼容性要求,或未告知是否满足要求,联想会在应用下载或安装过程中,向用户进行相应的提示和管控操作。(包括且不限于:提示风险、提示免责声明、特定情况下限制下载或安装、推荐用户安装联想乐商店已检测版本。)

应用下载渠道的兼容性检测机制需符合以下标准:
1)兼容性检测覆盖范围要求:联想主流系统版本至少一款,且需覆盖联想发布的全部终端设备机;

    2)兼容性检测通过率要求:第三方应用下载渠道所分发应用兼容率80%及以上,其Top1000应用兼容率90%及以上;
3)兼容性提示要求:对所有不兼容联想设备或系统的应用必须给出明显的用户提示。

3.3 隐私保护

第三方应用下载渠道,需要具备用户隐私保护机制和用户投诉处理机制。若应用下载渠道不满足用户隐私保护机制及投诉处理机制等要求,或未告知是否满足要求,联想会在应用下载或安装过程中,向用户进行相应的提示和管控操作。(包括且不限于:提示风险、提示免责声明、特定情况下限制下载或安装、推荐用户安装联想乐商店已检测版本。)

应用下载渠道的用户隐私保护机制需符合以下标准:
1)具有明确的规章制度,规定用户个人信息收集和使用的目的、方式、范围,并且明确告知到用户,采用正当的方式征得用户同意;
2)具有完善的用户个人信息保护制度和用户数据风险监控与风险上报机制;
3)具有用户个人信息三方传递保密与评估制度。

应用下载渠道的用户投诉处理机制需符合以下标准:
1)有专门服务于应用下载功能用户的投诉受理部门和用户投诉受理机制;
2)有监督用户投诉处理质量的机制;
3)渠道须承担因使用渠道提供的应用,而导致联想终端用户投诉的服务成本。