F-Secure efter Version2-afsløring: Google Play har et problem

Googles online-forretning Play står med en udfordring, når det kommer til at give brugerne de fornødne redskaber til at navigere uden om uønskede applikationer, mener finske F-Secure.
Illustration: screenshot

»Google Play har et problem, og det er ikke malware.«

Sådan lyder den kontante reaktion fra antivirus-virksomheden F-Secure efter Version2’s historie om en vejr-app, der via en lokkende reklame kostede en dansk bruger 150 kroner, da hans 10-årige datter indtastede et mobilnummer.

Læs også: Populær vejr-app til Android narrer 150 kroners-sms'er ud af danskere

Sikkerhedsekspert ved F-Secure Sean Sullivan satte sig til tasterne og skrev et blogindlæg, efter Version2 kontaktede ham omkring Vejr-app’en.

Sean Sullivan bruger vejr-app'en som eksempel på det, han mener, er et generelt problem i forhold til app-butikken Google Play.

Nemlig at brugerne har svært ved at undgå den type apps, som Sean Sullivan kalder for Potentially Unwanted Application - altså apps, som man formentlig helst ikke vil slippe løs på sin Android-tablet eller -smartphone.

»Alt efter, hvor man befinder sig, så kan Potentially Unwanted Applications (PUA) være ganske vanskelige at undgå,« skriver han.

Reklamer ændrer sig efter land

F-Secure har, som Version2 tidligere har fortalt, undersøgt vejr-appen og fundet ud af, at reklamebeskederne fra programmet ser ud til at ændre sig, alt efter hvilket land den bliver hentet i.

Som eksempel viser han skærmbilleder af, hvordan vejr-applikationen, der går under det generelle navn ‘weather widget’ i den engelske udgave af Google Play, har otte anmeldelser.

I den danske udgave af Google Play-butikken dukker imidlertid en helt anden anmeldelse op. Nemlig anmeldelsen, som Version2 tidligere har omtalt, hvor brugeren Peter Gosvig klager over app’en, der kostede ham 150 kroner.

Og den udskældte app ender næsten i top, når danskerne søger på det ord, der er allermest oplagt i sammenhængen.

»Værst af alt, så er denne ‘weather widget’ app det andet resultat, hvis danskere søger på ‘vejr’«, skriver han.

Plads til forbedring, Google!

Sean Sullivan mener, Google burde gøre brug af sin egen oversætterservice, Google Translate, så flere anmeldelser bliver synlige for brugere af forskellig nationalitet.

På den russiske udgave af Google Play optræder ordet ‘virus’ flere steder blandt anmeldelserne af appen, fortæller Sean Sullivan, og tilføjer samtidigt, at der dog teknisk set ikke er tale om en virus.

Udover Translate-tjenesten mener Sean Sullivan, at Google med fordel kunne bruge Googles lokationstjeneste Maps, så det bliver muligt at se, hvor anmeldere af en app befinder sig. På den måde vil det være lettere at se, om alle de positive anmeldelser kommer det samme sted fra, eksempelvis fra det firma, der står bag appen, påpeger sikkerhedseksperten.

Sean Sullivan hæfter sig desuden ved, at det ikke er muligt for brugerne at sortere blandt søgeresultaterne på Play - eksempelvis efter, hvor mange anmeldelser en app har fået, så det brugerne den vej rundt fik lettere ved at skille skidt fra kanel blandt de mange apps.

»På den anden side - hvis det var muligt at sortere Play-resultaterne - så ville der blive genereret færre søgninger, som verdens største reklame-virksomheden så kan bruge til at profilere brugerne med,« skriver Sullivan og henviser dermed til, at Google har interesse i et højt antal søgninger.

»Google Play: Der er plads til forbedring,« skriver Sean Sullivan afslutningsvist.

F-Secure har iøvrigt også offentliggjort en rapport for fjerde kvatal 2012, hvoraf det fremgår, at malware på mobiltelefoner stort set udelukkende er rettet mod Googles Android-platform.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (21)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Andersen

Jeg er helt enig i at google play er en rodebutik der minder om nettos spotvare sektion. Men 150 kr efter svar på en sms, det lyder grangiveligt som en overtakseret sms tilmelding til en konkurrence/indsamling? Den slags kan man spærre for i sit mobilabonnement hvis man vil, men det har google play da ingen indflydelse på?

Er det korrekt forstået at man aktivt skal foretaget sig noget, altså sende en sms, for at deltage i konkurrencen?

Jeg spørger, fordi jeg selv har en datter der lystigt henter "gratis" apps i google play store, og det har da også været ganske uproblematisk indtil videre. Jeg indprenter hende da også at hun ikke skal tage imod alt for gode tilbud eller afgive (yderligere) personoplysninger herunder sms'er til fremmede numre.

  • 5
  • 0
Johnnie Hougaard Nielsen

Ingen tvivl om at F-Secure giver den en solid spin-skrue for at promovere deres eget produkt, og puster deres statistikker kraftigt op.

På den anden side kan det siges at overholdelse af Android retningslinierne for annoncer er et område hvor Google godt måtte være hurtigere ude med øksen, når visse app udviklere "glemmer" det, eller laver kreative teknikker for at snige sig udenom.

  • 5
  • 0
Henrik Christian Grove

Du har helt ret, det der kostede ham penge var at datteren sendte en overtakseret sms, som svar på en sms hun havde fået efter at have indtastet sit telefonnummer på en konkurrencehjemmeside - som hun var kommet ind på takket være en push-meddelelse fra app'en.

Konkurrencen lyder som noget man skal holde sig langt fra.

Man kan diskutere om det reklamenetværk app'en benytter burde have et ansvar for hvad de medvirker til at distribuere.

Jeg synes det er tvivlsomt om man kan klandre app'en for noget.

Det er helt igennem tåbeligt at sige google play har et problem, men (som Martin Kofoed også er inde på) F-Secure har selvfølgelig et helt andet motiv for at sige det, end bekymringen for at folk kommer galt afsted i fjerde led.

.Henrik

  • 3
  • 0
Casper Bang

Skal vi ikke lige starte med at sætte tingene i perspektiv; Google Play (og Android) udemærker sig ved at give udviklere (og dermed brugere) lidt mere albuerum end andre platforme og til en lavere pris. Der er knapt så meget bureaukrati, man må lidt mere, man kan sende opdateringer ud lidt oftere, udvikle fra OSX/Windows eller Linux, det koster kun $25 at blive registreret som udvikler osv. osv.

I 2012 er der fundet 96 malware applikationer i Google Play. Der findes over 700.000 applikationer i Google Play - det svarer til 0.01 procent. Jeg må indrømme, jeg synes det er lidt at råbe "ulven kommer..." og det er især problematisk, når det sker fra et firma der selv markedsfører og sælger et sikkerhedsværktøj.

  • 11
  • 0
Johnnie Hougaard Nielsen

Man kan diskutere om det reklamenetværk app'en benytter burde have et ansvar for hvad de medvirker til at distribuere.

Jeg kender ikke den specifikke app, men det er sandsynligt at den bruger Airpush, eller et lignende "annoncenetværk" som gør mere ud af at være påtrængende (med muligvis større indtjening til følge), end at udvise tilbageholdenhed.

Android 4.1 og nyere har et flueben pr. app for om den kan lave notifications eller ej. Det kan dæmpe pushy reklame teknikker en del. Airpush har forresten en opt-out app, men den gør de vist ikke så megen reklame for :-)

  • 0
  • 0
Casper Bang

Er det korrekt forstået at man aktivt skal foretaget sig noget, altså sende en sms, for at deltage i konkurrencen?

Det er korrekt, denne ret så væsentlige vinkel på historien er dog udeladet af version2.

Jeg var også selv nysgerrig, så testet den pågældende app i en sandkasse. Den er lavet af DES-SOFT der har utallige umiddelbart OK ratede applikationer.

Applikationen har ingen specielle rettigheder, heller ikke til at sende SMS'er. Havde applikationen bedt om dette, fremgår det normalt ret så tydeligt i Google Play på enheden.

Som Johnnie er inde på; er der istedet tale om ret så påtrængende adware der smider notifikationer der kan starte en browser med et specificeret link.

Dette link indeholder så en konkurrence hvor du kan vinde Apple udstyr for 15.000kr. Man kommer viddere til at kunne indtaste sit tlf. nr. og der står med lille tekst, at der er tale om en SMS service der koster 150kr. Indtaster man et tlf. nr. får man SMS tilsendt som man skal svare på. Ellers skal man sende en tekst til et speficikt nr. og så koster det kassen.

Men men... intet er anderledes, end hvis en bruger gik ind på en tilfældig hjemmeside og fik en popup smidt i hovedet via browseren eller ser visse TV-reklamer!

Her må man altså fortælle sin 10 årige datter, at man ikke skal svare tilbage på en SMS med mindre man har læst dét med småt, fordi det formeentligt koster penge. Ellers må man som forælder kontakte sit mobilselskab, og sørge for at sådanne SMS services er spærret.

  • 15
  • 0
Peter Andersen

Man skal ikke snyde folk, men jeg synes at kritikken af Google Play rammer forbi. Nyheden er nu på politiken.dk hvor det, for ikke nørder, nemt kan læses som om at det er Google Play der lænser kontoen.

http://politiken.dk/tjek/digitalt/telefoni/ECE1919683/app-fra-google-pla...

Som andre skriver, hvis man via sin pc, klikker på en reklame der linker til en konkurrence med overtakserede sms'er, står man med præcis samme udfordring. Man kan da godt slå Google oven i hovedet, men hvis man ikke bruger sit eget, er man stadig lige sårbar - og nu måske endnu mere, hvis man tror man er sikret ved at undgå Google Play :/

  • 5
  • 0
Johnnie Hougaard Nielsen

Man kan da godt slå Google oven i hovedet,

Google er så store at de automatisk må regne med at blive slået i hovedet når det sker i deres økosystem. Der kunne siges at de skulle afkræve Airpush (m.v.) nogle strammere regler for opførsel, men så ville de med det samme blive beskyldt for misbrug af deres mere eller mindre dominerende markedsposition omkring Admob.

  • 2
  • 0
Thomas Jensen

I den aktuelle app er det noget reklame-halløj der er skurken, men det kunne lige så godt have været en app der sendte en sms til et overtakstseret nummer. Enhver app kan bruge "Tjenester, der koster dig penge - ring direkte op til telefonnumre, send SMS-beskeder". Godt for udviklerne, men brugerne lades i stikken.

Det er 100% brugerens ansvar at være opmærksom på dette, inden man installerer app'en. Og der er altså mange - formentlig mere end halvdelen af dem der bruger Android - der ikke ikke er i stand til at afgøre om en tilladelse er nødvendig og/eller er potentielt farlig, så det arrogant bare at sige det er folks eget ansvar. Hvis man som bruger ikke er i stand til at gennemskue hvilke apps der har brug for ovenstående tilladelse, og hvilke man absolut ikke skal installere hvis de kræver det, så har man et problem på Android.

Sikkerheden er simpelthen for slap. Man kunne fx. forbedre den lidt ved at lave det sådan, at man skal godkende det hver gang en app foretager sig noget der koster penge. Hvis man vil slå denne sikkerhed fra, så skulle det kræve pinkode, og så ville det kun være slået fra for den enkelte modtager af et opkald, ikke for app'en eller systemet som helhed.

At overlade sikkerheden til brugerens evne til at afgøre om en app skal installeres eller ej, det er simpelthen for tyndt.

  • 2
  • 7
Søren Jensen

At overlade sikkerheden til brugerens evne til at afgøre om en app skal installeres eller ej, det er simpelthen for tyndt.

Hvem skal det SÅ overlades til? Dig, Google eller ingen?

Jeg er nu godt tilfreds med den måde det er idag. Man kan jo allerede nu sætte lås på i Play således at der skal indtastes en kode for at købe.

Det hjælper jo ikke noget at lave en popup som spørger din om du vil købe denne app; hvis du ikke gider læse de advarsler som kommer når man installere en app, tror du så at man gider gøre det når den kører?

Gå imod tidens trend, TAG ANSVAR for dine handlinger i stedet for at skyde skylden på alle andre.

  • 6
  • 1
Thomas Jensen

Hvem skal det SÅ overlades til? Dig, Google eller ingen?

Jeg tror du misforstår. Jeg skriver ikke, at google eller andre skal bestemme hvad der skal installeres på din telefon. Jeg skriver, at brugere kan have svært ved at vurdere om en app er potentielt farlig, og derfor bør systemet (Android) ikke lade brugerens evne til at vurdere dette være eneste værn mod misbrug.

Jeg er nu godt tilfreds med den måde det er idag. Man kan jo allerede nu sætte lås på i Play således at der skal indtastes en kode for at købe.

Det handler ikke om hvad du kan købe i Play. Det handler om, at hvis du installerer en app der har tilladelse til at ringe eller sende sms, så kan den gøre det når og så mange gange den har lyst. Hvis du har sagt ja til at installere app'en, så har du givet den frit slag til at ringe som den har lyst. Her synes jeg det havde været mere fornuftigt at man positivt skulle give tilladelse hver gang, til ting der koster penge.

  • 1
  • 2
Johnnie Hougaard Nielsen

Det handler ikke om hvad du kan købe i Play. Det handler om, at hvis du installerer en app der har tilladelse til at ringe eller sende sms, så kan den gøre det når og så mange gange den har lyst.

Har du opdaget at denne sag ikke handler om en app med sådanne tilladelser? Jeg har ikke set noget der peger på at netop dette aspekt er noget reelt problem, bl.a. fordi brugere ikke er så naive som mange alarm-skrigere går og tror.

Det ville være afskyeligt (i stil med et vist flop omkring at Windows plagede brugere) med spørgsmål hver gang. Hvis det i virkelighedens verden skulle blive et problem med sms/telefon sneaky apps, ville jeg foretrække en separat "jeg har tillid til denne app", som ekstrakontrol omkring for mange tilladelser.

  • 4
  • 0
Thomas Jensen

Har du opdaget at denne sag ikke handler om en app med sådanne tilladelser?

Jep. Det er det første jeg skriver i mit oprindelige indlæg.

Jeg har ikke set noget der peger på at netop dette aspekt er noget reelt problem, bl.a. fordi brugere ikke er så naive som mange alarm-skrigere går og tror.

Det er et problematisk design. Hvis det ikke har været et problem indtil nu, så er det ikke takket være designet. Og det kan godt være du mener brugerne ikke er naive, men så fristes jeg til at sig; kom ud i den virkelig verden. Jeg vil holde fast i mit gæt, at mindre en halvdelen af alle android-brugere forstår hvad det med tilladelser er og hvad de skal bruge det til.

Jeg indrømmer, at tanken om windowstilstande på mobilen skræmmer - men alternativet må kunne gøres bedre end at bede brugeren udstede en blancocheck til app'en.

  • 1
  • 1
Johnnie Hougaard Nielsen

Jep. Det er det første jeg skriver i mit oprindelige indlæg.

Så må du prøve at komme med belæg for din løsagtige antagelse "men det kunne lige så godt have været en app der sendte". Det mener jeg er helt forkert. I den virkelige verden er den almene bruger ikke lig med laveste fællesnævner. Lige præcis den tilladelse er nem at forstå, og hvis den bliver misbrugt anledning til et hurtigt spark ud af Play.

Selv om jeg da ikke vil kalde det for et ideelt design, foretrækker jeg at undlade paranoia på brugernes vegne. Med den tankegang var risikable ting som ild, knive og cykler blevet stoppet med det samme. Men det er jo så også derfor at jeg peger på muligheden for en "jeg har tillid" markering, i en ekstra runde - hvis det alligevel skulle blive et problem af betydning.

  • 0
  • 0
Log ind eller Opret konto for at kommentere