Wie houdt er niet van gratis software? Ik niet en ik vermoed dat er miljoenen mensen met mij zijn die niet verwachten dat ze ongewilde software meegeïnstalleerd krijgen als ze een update voor Java, Adobe Reader of Skype aangereikt wordt. Dit fenomeen heeft een naam: Foistware. Het kan een plaag voor IT worden als gebruikers niet weten hoe ze installatie van deze software op hun pc’s voorkomen.
Om eerlijk te zijn hebben Adobe en Skype (nu eigendom van Microsoft) hun eerdere foistware-trekjes van zich afgeschud. Oracle begint er juist mee. Iedere keer dat een gebruiker ongewild een Ask-toolbar of McAfee antivirus met Java meeïnstalleert, verdient CEO Larry Ellison geld. En omdat Java berucht is vanwege zijn lekken (overheden waarschuwen tegenwoordig zelfs voor het gebruik), blijft Oracle patches uitbrengen die telkens nieuwe gelegenheden opwerpen om de foistware te installeren. Je zou bijna denken dat Oracle de Java-client expres blijft patchen om de crapware aan de man te kunnen blijven brengen.
Toen Oracle in 2009 Sun Microsystems, de oorspronkelijke maker van Java, overnam verwelkomde ik die acquisitie. Ik geloof nog steeds dat er toentertijd geen alternatief bestond, maar de pessimisten waarschuwden toen al dat het bedrijf van Ellison een waardeloze bewaker van de ooit onmisbare Java-software zou worden. Ze kregen gelijk.
Hoe Java je in de val lokt
Softwareprofessor Ben Edelman van Harvard zette eerder samen met Ed Bott van ZDNet uiteen hoe deze foistwarescam wordt uitgevoerd. Eerder deze week publiceerde Edelman een uitbreide analyse van Java waarin hij zei: “Het is pijnlijk om te zien dat Oracle verdient aan dit securitylek via een update die hen in staat stelt extra advertentiesoftware te installeren […] Een beveiligingsupdate mag nooit als aanleiding gebruikt worden om extra software te pushen.” (Oracle heeft op moment van schrijven nog niet op de bevindingen van Edelman gereageerd.)
Ook jij zult gemerkt hebben dat bij ieder Java beveiligingsupdate de installer vraagt of de Ask-toolbar en McAfee-virusscanner meegeïnstalleerd mogen worden. De installer raadt aan de standaardinstallatieprocedure te volgen. Als je dat inderdaad doet, worden de programma’s automatisch geïnstalleerd. Als je dat niet wilt, moet je voor een handmatige installatie kiezen en zelf de nodige vinkjes weghalen.
Deze vorm van opt-out is al erg genoeg, maar Edelman ontdekte nog een slimme valkuil: Als je ergens gedurende het installatieproces ofwel op Enter of op de spatiebalk drukt, gaat de installer naar het volgende scherm. Voordat je het weet heb je de ongewilde programmatuur op je pc staan.
Voor een ervaren gebruiker is het logisch dat hij of zij na een dergelijke installatie direct naar het Configuratiescherm navigeert om de software zo snel mogelijk te verwijderen. Dat werkt voor McAfee, maar niet voor Ask. Dat komt omdat Oracle en zijn partner, het advertentiebureau IAC, een slinkse manier hebben gevonden om dit tijdelijk te voorkomen. De toolbar installeert zichzelf pas na tien minuten, waardoor het ook niet direct na de ‘installatie’ in de lijst verwijderbare programma’s verschijnt.
Het resultaat is dat veel gebruikers denken dat ze de Ask-toolbar niet kunnen verwijderen. Dat is nogal verwarrend. En het is geen toeval dat deze truc toegepast wordt. Volgens Edelman weten fabrikanten van spyware dit soort trucs al jaren met succes toe te passen.
Browserprobleem
En er is meer. De Oracle/IAC-installatie voor Ask vraagt toestemming een add-on voor IE, Chrome en Firefox te installeren, maar laat op geen enkel moment weten dat het daarmee het zoekvenster en de standaard zoekmachine aanpast. De veranderingen vinden plaats zonder enige toestemming van de gebruiker. Als je dan toch hebt uitgevonden hoe je de Ask-toolbar kunt verwijderen, herstelt de uninstaller de oorspronkelijke browserinstellingen niet. Hiermee schaadt de software de regels van Chrome, waarin volgens Edelman expliciet gesteld wordt dat aanvullingen op de browser alle functionaliteit moeten herstellen. Gebruikers moeten tot maar liefst 16 stappen handelingen verrichten om de Ask-toolbar van Oracle/IAC te verwijderen. Wauw!
Oracle krijgt een klein bedrag uitgekeerd iedere keer als een gebruiker de Ask-toolbar installeert. Omdat miljoen gebruikers het dagelijks doen, hebben we het hier over grote bedragen al weet niemand om hoeveel geld het precies gaat. IAC haalt nog meer geld binnen: Ieder keer dat iemand binnen de toolbar op een gesponsord zoekresultaat klikt, ontvangt IAC commissie.
Om ervoor te zorgen dat dit zo vaak mogelijk gebeurt, worden gebruikers gelokt de links aan te klikken. Volgens Edelman gebruikt IAC een opvallende achtergrond en een sluwe layout om de gebruiker te verleiden tot het aanklikken van gesponsorde resultaten in plaats van de legitieme links. De gesponsorde resultaten vullen soms meerdere schermen wat een gebruiker van Google niet gewend is.
Ook Google zit in het complot
Daarmee heb ik direct de volgende partij genoemd die hieraan geld verdient. Ook Googe, concurrent van Ask, pikt een graantje mee. Dat komt omdat IAC een partnerschap met Google is aangegaan om een deel van de resultaten van de bekende zoekmachine te laten zien in ruil voor een deel van de omzet. IAC geeft in dit blog inderdaad toe dat Google zijn grootste advertentieklant is.
UPDATE 29-01: Ondanks felle protesten Oracle heeft aangegeven dat het zijn samenwerking met Ask.com voortzet, ondanks heftige kritiek vanuit gebruikers. In een gesprek met vertegenwoordigers van de Java gebruikersgroepen, heeft het hoofd van Oracle’s OpenJDK-team aangegeven dat er voorlopig niets aan de deal zal veranderen. “Er ligt een overeenkomst die je moet honoreren en volgen”, zegt Doland Smith.
Smith ontkent dat Oracle met de installatie een aanvullend securityprobleem creëert: “Het is geen securityrisco, maar een commercieel-zakelijk issue”, vertelde hij tegen journalisten en Java-gebruikers. Volgens Smith loopt de deal met Ask.com al sinds 2010 en werd deze gesloten vlak na de overname van Sun Microsystems. “Het is geen nieuw initiatief, het is niet iets waar Oracle nu pas mee begonnen is. Dit is een initiatief wat Sun lang geleden in gang gezet heeft.”
Lees de volledige antwoorden op vragen over de Ask.com toolbar in de Java-update op zustersites Webwereld en Networkworld.
Reageer
Preview