Danske Spil: Lotto på Android? Så skal du lige slå sikkerhedsfunktion fra

Foto: Søren Wesseltoft
For at installere Danske Spils Lotto-app på Android, så skal brugeren tillade installation fra 'ukendte kilder'.

Måske drømmer du om Bounty Beach? Og måske tænker du, at vejen dertil går via Danske Spils Lotto-app til Android?

I så fald skal du starte med at slå en sikkerhedsfunktion fra i styresystemet.

Lotto-app’en fra den primært statsejede virksomhed kan nemlig ikke udkomme via den officielle distributionsplatform til Android, Google Play.

Googles retningslinjer tillader nemlig ikke såkaldte gambling-apps.

Derfor har man hos Danske Spil i stedet valgt selv at distribuere Lotto-app’en til Android uden om Google Play i form af en apk-fil (et pakkeformat til apps), der kan hentes via danskespil.dk

Den form for distribution er dog ikke nødvendigvis helt problemfri, da telefoner med Googles Android i udgangspunktet er sat op på en måde, så de ikke tillader installation af apps fra tredjeparter - i dette tilfælde Danske Spil. Ved at sætte en indstilling i telefonen, der tillader installation af apps fra 'ukendte kilder', er det dog muligt at installere apps fra tredjeparter alligevel.

Hvad det angår, så bringer Danske Spil en vejledning til, hvordan telefonens sikkerhedsindstillinger kan ændres, så det bliver mulig at installere apps fra det, der kaldes 'ukendte kilder'.

Android viser denne besked, når brugeren vil tillade installation fra 'ukendte kilder'.

Det er her værd at bemærke, at Danske Spil som en del af vejledningen råder brugere til at slå sikkerhedsindstillingen tilbage til udgangspunktet efter endt installation af Lotto-app'en.

Og det skal også bemærkes, at det - også uden vejledning - er ret ligetil at tillade installation fra 'ukendte kilder'. Nogen vil dog nok mene, at når installation fra 'ukendte kilder' ikke er slået til, så tjener det som en umiddelbar hindring for, at brugeren installerer en potentielt ondsindet app fra tredjepart.

Virus og malware

Solutions architect og partner i app-virksomheden iDeal development Torsten Aaboe Andersen udvikler selv til Android, og han er ikke umiddelbart begejstret for Danske Spils måde at distribuere Lotto app'en på.

»En ting er at Danske Spils app ikke laver noget gris, men der er ingen garanti for det, når den ikke har været igennem Googles verificering af app'en. Google checker apps uploaded til Google Play for virus, malware og andet opførsel, som Google finder problematisk,« fortæller Torsten Aaboe Andersen til Version2 via mail.

I forhold til Danske Spils opfordring til at tillade installation fra 'ukendte kilder', som indstillingen kaldes, så påpeger Torsten Aaboe Andersen, hvis brugeren er i det, han kalder betting miljøet, er det ikke svært at forestille sig, at brugeren hurtigt falder over en anden app, som måske ikke opfører sig så pænt som Danske Spils.

»Så altså ved at åbne for 'ukendte kilder', så er der fri leg - uden nogle checks overhovedet. Et farligt scenarie er, hvis en hacker lykkedes med at erstatte den APK-fil, som Danske Spil har liggende, med en tilsvarende med deres egen ondsindede kode.«

Når det er sagt, så påpeger Torsten Aaboe Andersen dog også, at selvom installation fra ‘ukendte kilder’ er tilladt på telefonen, så kræver det stadig, at brugeren foretager et aktivt valg, før en - potentielt ondsindet - app bliver installeret på telefonen.

Også malware på Play

Og bare fordi en app kommer fra Google Play, så kan den godt ryge gennem maskerne i sikkerhedsnettet og have en malware-lignende adfærd. Det sker fra tid til anden.

Læs også: 50 tilsyneladende uskyldige Google Store-apps har skabt en bothær af to millioner smartphones

Men når en app bliver installeret uden om den centrale distributionsplatform, så er der i udgangspunktet ingen kontrol med, hvilken software der havner på telefonen.

Den manglende kontrol forsøger kriminelle jævnligt at benytte sig af. Blandt andet i form af sms-kampagner, hvor brugeren modtager en besked, der ser ud til at komme fra eksempelvis postvæsnet.

Læs også: Malware-sms på rigtig dansk blander sig med legitime Post Danmark-beskeder

Beskeden kan indeholde et link og en meddelelse om, at der er en pakke klar til afhentning. Når brugeren så klikker på linket, bliver der downloadet en app på enheden, som brugeren bliver bedt om at installere.

Beskeden kommer imidlertid ikke fra postvæsnet og app'en er ond (spyware, ransomware etc.).

I udgangspunktet vil brugerens Android-telefon i sådan en situation give en besked om, at installationen er blokeret, da styresystemet jo ikke - uden videre - tillader installation af apps fra tredjepart. Altså udenom Google Play.

Det er naturligvis forudsat, at brugeren ikke allerede har ændret indstillingerne på telefonen, så installation fra tredjepart faktisk kan lade sig gøre.

»Sæt flueben i feltet "Ukendte kilder"«

Det er netop denne handling, som Danske Spil beder Android-brugere om at gøre i forbindelse med installation af Lotto app'en (da app'en jo ellers ikke kan installeres.)

Danske Spils vejledning til installation af Lotto-app'en på Android.

»Bemærk - når du installerer Lotto App'en, bliver du mødt med beskeden "Installation er blokeret",« lyder beskeden fra Danske Spil på hjemmesiden for app'en.

Herefter følger en guide til, hvordan telefonen sættes op til alligevel at tillade installationen.

»Sæt flueben i feltet "Ukendte kilder". Tillad installation af apps fra andre kilder end Play Store,« lyder det blandt andet i guiden.

Og så kommer der en påmindelse om, at brugeren skal huske »at ændre sikkerhedsindstillingerne tilbage igen efter installationen.«

Spørgsmålet er, hvor mange brugere, der ændrer sikkerhedsindstillingerne tilbage igen, når de har installeret Lotto-app'en fra Danske Spil.

Den statsejede organisation oplyser i en mail til Version2, at man ikke har noget tal for, hvor mange brugere, der faktisk husker at skifte sikkerhedsindstillingen tilbage igen.

Og dermed er der altså heller ikke nogen tal for, hvor mange danskers telefoner, der for øjeblikket står åbne for installation fra ‘ukendte kilder’ som følge af installationsproceduren for Lotto-app’en.

En reminder-funktion?

It-sikkerhedsmand og blogger på Version2 Henrik Kramshøj kan godt få øje på, at der kan opstå problemer ved Danske Spils distributionsmodel for Lotto app'en.

»Det giver en øget risiko for forbrugeren, hvis ikke de slår sikkerheden til igen,« siger Kramshøj og nævner i den forbindelse udbredelsen af ransomware som et risikoelement.

I forlængelse af udsagnet lufter Henrik Kramshøj en løs tanke om, at det måske ville være muligt at skrue Danske Spil-app'en sammen på en måde, så den efter endt installation faktisk tjekker, om indstillingerne er blevet ændret tilbage igen, så telefonen ikke længere godtager mere eller mindre vilkårlige tredjeparts-apps.

Ifølge Torsten Aaboe Andersen kan det godt lade sig gøre at lave app'en på en måde, så den tjekker tilstanden for den pågældende sikkerhedsindstilling og giver brugeren en reminder om at ændre indstillingen tilbage til det sikre udgangspunkt.

Han foreslår dog, at Danske Spil helt dropper Lotto-app'en til Android.

»Jeg synes det er lidt et skråplan, at et selskab der primært er ejet af staten går udenom de officielle kanaler (Google Play), og dermed siger god for at hr. og fru Danmark må installere apps udenom Google Play,« skriver Torsten Aaboe Andersen og tilføjer:

»De bør enten køre det som en ren webapp (på trods af den dårligere brugsoplevelse) eller helt lade være. Det er selvfølgelig en omsætning der så måske går til andre (udenlandske) udbydere.«

Danske Spil: Det er en forsvarlig løsning

Version2 har forelagt Danske Spil idéen om udelukkende at have en web-app, alternativt en reminder-funktion i Lotto-app'en, og så har vi spurgt til, om Danske Spil overordnet set mener, at den nuværende måde hvorpå Lotto-app'en til Android bliver distribueret på er it-sikkerhedsmæssig forsvarlig.

»Mens vores iOS app distribueres gennem App Store, tillader Google desværre ikke apps fra spiludbydere. Derfor har vi valgt at distribuere på denne måde. App’en kan ses som et alternativ til vores website danskespil.dk, der fungerer fint på mobil,« lyder det i et skriftligt svar fra Danske Spils kommunikationsrådgiver Thea Gade-Rasmussen, som fortsætter:

»Vi mener, det er en forsvarlig løsning, da vi går ud fra, at brugerne følger den vejledning vi giver til at installere app’en. Forslaget om en reminder-funktion er godt, det ser vi på til en kommende release.«

Men hvad tænker Version2’s læsere? Er det overhovedet et reelt problem, at Danske Spils Lotto-app udkommer, som den gør - Googles retningslinjer for gambling-apps taget i betragtning? Eller bør Danske Spil droppe app’en og holde sig til en web-baseret løsning?

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (16)
Dave Pencroof

Når penge er eneste fokus, så forsvinder alle grundlæggende værdier, såsom at opføre sig ordentligt, finde de rigtige løsninger, osv !
Jeg må prise Google for ikke at ville tillade gambling apps, som måske specielt ludomaner kunne tænkes at være monster opsat på at få på deres tlf så de kan spille familiens samlede indkomst op endnu hurtigere og alle steder 24/7 !
Virksomheder verden over har i årtier vist hvordan man skamrider den menneskelige naturs skyggesider og med ekstrem nøjagtighed føre brugeren i afhængigheds fælden,
https://journal.thriveglobal.com/how-technology-hijacks-peoples-minds-fr...
https://vimeo.com/123488311 !
Danske spil tænker måske at de heller ikke juridisk ansvarlige for at lære brugerene at sænke sikkerheden på deres udstyr når nu de skriver "husk at ændre sikkerhedsindstillingerne tilbage igen efter installationen", samtidigt er det danske retssystem er efterhånden så umuligt og ineffektivt at have med at gøre at det beskytter kriminelle langt mere end de lovlydige borgere

Dave Pencroof

Helt enkelt fordi hr og fru DK igen og igen viser at de ikke gider at tænke sig om, eller tror sig meget bedre vidende end alle andre i alle forhold, hvilket er så langt fra "sandheden" som det er muligt at komme !
Det er dog ikke kun hr og fru DK med et umådeligt flertal i hele det vestlige samfund, som er rasende faktaresistente og postfaktuelle, selv om det måske lyder som dobbelt-pleonasme !

Peter Christiansen

Jeg ser ikke problemet. Når man ikke kan installere gambling app pga. google plays retningslinjer, er det klart at man må distribuere skidtet selv.

Danske spil tænker måske at de heller ikke juridisk ansvarlige for at lære brugerene at sænke sikkerheden på deres udstyr når nu de skriver

Lidt at overreagere synes jeg, det er jo ikke fordi de lærer brugeren hvordan man rooter eens telefon, det er "Indstillinger" -> "Låseskærm og sikkerhed" -> "Ukendte kilder" vi taler om.

Fint at Danske spil tager handling og udgiver deres app selv, i stedet for at lade sig styre af hvad smagsdommer google har bestemt er passende.

Da gambling er lovligt i danmark, ser jeg ikke spor i vejen for at gøre det på den måde danske spil har gjort det. Store firmaer som google / apple etc. skal ikke have ret til at bestemme indholdet på vore telefoner, det kan vi fint selv håndtere.

Censur nej tak.

Henrik Madsen

Jeg må prise Google for ikke at ville tillade gambling apps, som måske specielt ludomaner kunne tænkes at være monster opsat på at få på deres tlf så de kan spille familiens samlede indkomst op endnu hurtigere og alle steder 24/7 !

Har google rent faktisk udtalt at det er derfor de ikke tillader gambling apps ?

Må indrømme at min første tanke var at det nok var fordi de ikke ønskede at folk laver apps som generer en HEL masse penge til ejeren af appen, uden at Google selv har mulighed for at få fingre i nogen af de penge.

Måske er det bare mig der er kyniker, men et firma som er så stort som google, anser jeg ikke for at tænke i moralske baner, men alene i økonomiske. (At der så kan være god økonomi i at lade som om man er moralsk funderet på visse områder er så en anden ting. CSR handler vel i bund og grund om lige netop det).

Peter Christiansen

Google er kun interesseret i freemium apps, hvor brugerne bliver hooked, præcis på samme måde som ludomaner og kaster penge efter forskellige "belønninger" i spillet.
Forskellen på freemium apps og gambling apps er at man ikke kan vinde penge i freemium apps.
Google's indtjening i google play består af 98% freemium apps, resten af det beløb der bliver givet up front for apps med en anden forretningsmodel.

Sjovt folk ikke kan se at freemium konceptet spiller (pun intended) på præcis de samme mekanismer som gambling og er lige så afhængigheds skabende, dog uden nogen fysisk fortjeneste (penge præmier mv.).

Henrik Madsen

Sjovt folk ikke kan se at freemium konceptet spiller (pun intended) på præcis de samme mekanismer som gambling og er lige så afhængigheds skabende, dog uden nogen fysisk fortjeneste (penge præmier mv.).

Enig, det virker i hvert fald hyklerisk hvis google's holdning er at man ikke vil tillade gambling fordi det er afhængighedsskabende, men ikke har et problem med at børn køber smølfebær for 100.000 Kr. for at komme hurtigere igennem et spil.

Flemming Gerdstrøm

Man ka' mene om spil, hvad man vil (jeg jeg er da personligt arg modstander af alle spil-reklamer - og for den sags skyld 'kviklån' o.lign., der også lokker folk i økonomisk uføre!), men jeg synes altså ikke, der er noget at komme efter hos DanskeSpil:

Hvis folk er store nok til at slå en sikkerheds-indstilling fra, så må de altså også være store nok til at slå den TIL igen.

Men det var dog en fremragende idé at lade app'en selv checke, at indstillingen er slået til (eller fra, om man vil) igen.

Ligeledes ka' DanskeSpil naturligvis ikke lade sig styre af, hvad Google mener: Som nævnt i andre kommentarer styres Google - naturligt nok - kun af egne (økonomiske) interesser.

Peter Christiansen

Lige lovligt mange rettigheder appen kræver dog.

android.permission.INTERNET
android.permission.SYSTEM_ALERT_WINDOW
android.permission.CAMERA
android.permission.ACCESS_FINE_LOCATION
android.permission.ACCESS_COARSE_LOCATION
android.permission.WRITE_EXTERNAL_STORAGE
android.permission.ACCESS_NETWORK_STATE
android.permission.ACCESS_WIFI_STATE"
android.permission.USE_FINGERPRINT
android.permission.READ_PHONE_STATE"
android.permission.READ_EXTERNAL_STORAGE
android.permission.WAKE_LOCK

Hvad skal den med kamera adgang og hvad skal dem med kundens gps position?

Sikkert noget med "at forbedre kunde oplevelsen", hvis man spørger.

Henrik Madsen

Så vidt jeg husker så må man ikke spille på danskespil hvis man ikke er i Danmark, Grønland eller Færøerne. Det forklarer nødvendigheden af GPS.

Muligvis men den slags programmer er ULTRA lette at snyde.

For år tilbage scannede ungerne coins til McDonalds.

Man SKULLE være på en McD for at scanne disse, men nogen lagde dem på nettet og så brugte man en GPS spoofer til at bilde app'en ind at man var på en McD.

Det samme med "cykelscore". Der kunne man få point hvis man cyklede bestemte steder og den app brugte også GPS.

Der var foriøvrigt ingen sanitets check på.

Husker at vi for sjov testede det og den accepterede at vi var i midtjylland og 1 minut senere var vi så i Nordjylland.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 10:31

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017