Populær vejr-app til Android narrer 150 kroners-sms'er ud af danskere

Det er langt fra risikofrit at downloade apps fra Googles onlineforretning Play, hvorfra skadelig software finder vej ned på brugernes telefoner. Google bør stramme op, mener ekspert.

En sms til 150 kroner. Det kan være resultatet af at have installeret en tilsyneladende helt uskyldig vejr-applikation fra Googles online-softwarebutik Play.

I modsætning til Apples pendant App Store, så er der mindre kontrol med det indhold, Google giver brugerne adgang til via Play, og det er problematisk, fordi brugerne dermed har langt større risiko for at installere skadelige programmer på deres mobile enheder, mener Graham Cluely, teknisk konsulent i it-sikkerhedsvirksomheden Sophos.

»Det er et problem, og Google bør fikse det. Jeg mener, det er alt for let af publicere applikationer på Google Play. Folk går ud fra, at apps derfra er sikre,« siger han til Version2.

Google Play-bruger Peter Gosvig skriver i en anmeldelse af en app, der på dansk kalder sig Vejr Widget, følgende på Google Play:

'Vældig fin widget, der laver push-meddelelser på din telefon. Herfra blev min datter på 10 så smidt ind på en side, hvor hun skulle indtaste mobilnummer for at vinde en iPad. Hun svarede glad på den sms, der kom retur, og det kostede så mig 150 kr., så nul stjerner fra mig.'

Version2 har været i kontakt med Peter Gosvig, som bekræfter forløbet. Og et kig i den engelske udgave af Google Play viser da også, at flere brugere har klaget over spam-adfærd fra app’en, som i skrivende stund i den danske udgave lægger sig blandt de første hits under en søgning på ‘vejr’.

iPhone er bedre

Graham Cluely vurderer, at problemet med skadelige programmer på smartphones er stigende, men det berører stort set kun telefoner med Googles Android-styresystem, som altså henter deres programmer via Googles Play-tjeneste.

»iPhone-oplevelsen er efter min mening i denne sammenhæng bedre. Apple ville simpelthen ikke tillade sådan en app i deres butik. Og hvis den dukkede op, så ville de meget hurtigt fjerne den,« siger han.

Brugerne kan sikre sig, inden de henter en app, blandt andet ved at læse anmeldelserne af den og se på, hvem der har udgivet den, påpeger Graham Cluely, som dog mener, det i sidste ende er Googles opgave at minimere mængden af skadeligt indhold på Play.

»Set fra et sikkerhedsmæssigt synspunkt, så er det mindre sikkert at hente apps derfra, end det vil være i iPhone-butikken. Man risikerer potentielt sine data og sine finanser, hvis man ikke er meget, meget forsigtig,« siger han.

Derfor mener sikkerhedseksperten overordnet set, at Google bør bevæge sig mere i retning af Apples model og blive bedre til at screene for skadelig software, inden det når brugerne.

»Jeg plejede at have en Android-telefon. Nu har jeg ikke en Android-telefon. Jeg har en iPhone. Selvom iPhone uheldigvis ikke tillader mig at installere et anti-virus program, hvilket jeg gerne vil klage til Apple over, så føler jeg mig mere sikker med den, end med Android,« siger Cluely.

Talsperson for Google Christine Sørensen har i en mail til Version2 svaret på opfordringen til at forbedre sikkerheden i Google Play:

'Det er en klar topprioritet for os, at Google Play giver vores brugere en sikker oplevelse og at deres oplysninger er sikkert beskyttet. Google Play er styret af en klart defineret indholdspolitik, som udviklere skal overholde samt en sikkerhedsmodel baseret dels på brugertilladelse og på sandboxing mellem applikationerne. Applikationer, som ikke overholder vores indholdspolitik, bliver fjernet fra Google Play,' skriver hun og fortsætter:

'Sidste år åbnede vi for en ny tjeneste i Google Play, som automatisk skanner potentielt ondsindet software uden dog at forstyrre eller ødelægge brugeroplevelsen eller skulle tvinge udviklere gennem en lang godkendelsesproces af deres applikation.'

Version2 har kontaktet udvikleren af Vejr Widget, der dog ikke har reageret på henvendelsen. Den finske antivirus-virksomhed F-Secure har på Version2’s foranledning kigget på app’en og bekræfter, at den indeholder funktionalitet, der kan sende brugeren videre til forskellige steder, der som sådan ikke har noget med vejr at gøre.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (37)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Morten Sørensen

Der popper et skærmbillede frem, når man installerer en app, der kræver bestemte tilladelser på telefonen, via Google's Play Store. Det betyder altså at man kan aflæse hvad app'en helt konkret skal bruge af tilladelser og hvad den skal bruge dem til.

Det er ret ligetil. Kan man ikke acceptere en app skal bruge f.eks. netværksadgang til at hente/sende data, så har man her chancen for at stoppe, og ikke installere app'en.

At app'en så sender reklame-relaterede notifikationer er noget andet. Herfra er det brugeren, der foretager et valg. I dette tilfælde har datteren trykket på notifikationen og indtastet sit telefonnummer. Der er altså sket to handlinger allerede her. Intet er sket af sig selv.

Nu ved jeg godt at dømmekraften hos en 10-årig ikke er den bedste. Men så må det være op til forældrene at sætte restriktioner på telefonen. Dette kan sagtens lade sig gøre, både på Android og iPhone. Nyere Android-telefoner har endda multi-user support.

Morten Krogh Andersen

Det ligner mere en gang ansvarsfraskrivelse, set i lyset af den bragte det-kostede-en-masse-penge" historie. Skal mobilproducenten så også have skylden hvis datteren sender en 150 kroners sms til en indsamling el. lign fordi der reklameres for denne i en in-app reklame?

Graham Cluely kunne starte med at lære sit datter om informationssorting og kildekritik, herunder at intet er gratis; det kan man ikke starte på for tidligt.

Morten Krogh Andersen

Jeg kan garantere dig for at jeg nærlæser de krævede tilladelser under installation af især spil. Det er klart at Google kan fraskrive sig et ansvar, men at betragte det som det primære formål med at en apps tilladelser synliggøres for brugeren er helt skudt ved siden af, efter min mening.
Det er klart at ikke alle læser tilladelser, men man får muligheden, hvilket man ikke gør på en anden nævnt platform - så vidt jeg husker..

Jørgen L. Sørensen

Hvis din beskrivelse er korrekt - og sms bliver sendt til, og bekræftet fra, den telefon hvor app'en bliver installeret, er jeg enig med dig i at det må være brugerens ansvar.

Jeg er dog lidt i tvivl om hvorvidt "hun svarede glad på den sms der kom retur og det kostede så mig 150,- " skal opfattes om om faderens telefon blev bonnet, eller det blot er ham der betaler datteres regning.

Kan man sætte loft over hvor mange penge en app trækker over telfonregningen, og hvad sker der i givet fald når loftet nås?

Jeg er lidt uvidende, da jeg ikke har en smartphone, men kun en "smart mobil" der kan holde strøm i en hel uge :-)

Johnnie Hougaard Nielsen

En app som på verdensplan har under 100.000 downloads kan ikke just kaldes populær, og det må antages kun at være ganske få som hopper på tricket med det falske lotteri og efterfølgende sende en overtakseret SMS.

På den anden side er den lidt sneaky, på den måde at de tilladelser som den beder om ikke ser skræmmende ud. Det er jo så også derfor at de tager omvejen med en snyde-reklame, hvor den naive bruger selv skal udføre en aktiv handling for at blive snydt.

Men det er faktisk meget analogt med at reagere på en "lotteri" reklame eller email spam. Så det er ikke et Android platform specifikt problem.

Morten Krogh Andersen

Jeg læser det som om at pigen har klikket på et eller andet, som lige så godt kunne være en in-app reklame, som ledte hende til en ekstern side, hvorfra hun så fik en sms. Det var svaret på denne sms der kostede penge, og det havde derfor ikke noget at gøre med app'en, men med brugerens (her barnets) forståelse for sund kritisk sans i en kapitalistisk verden..

Hvis en app sender brugeren til alle mulige irrelevante sites, skal den naturligvis afinstalleres med det samme, med mindre man, baseret på dens krævede tilladelser, kunne se at den var lidt for "grådig" i sine behov. Så skulle den slet ikke installeres.

Jeg tror ikke det er muligt at begrænse en apps' forbrug..

Allan S. Hansen

En smartphone er en computer.
Installation af programmel på en computer kan være farligt hvis det er skadelig kode, ligegyldigt om det hedder en App eller ej og er til en smartphone eller ej.

Pas på, på samme måde, som mange (men ikke alle) gør med en 'traditionel' computer, og mange problemer kan undgås.

Med sund fornuft kommer man meget langt.

Jesper Høgh

Selvom Apple cencurerer apps, der udgives på AppStore, så frasorteres der vel kun de apps, der ikke overholder den amerikanske bibel-bælte-standard.

1: Peter Øvig Knudsens app/bog om tiden i Frøslevlejren blev forbudt pga bare bryster.

2: Spil målrettet børn, og som bevidst forsøger at lænse forældrenes kreditkort, blev godkendt.

Og begge disse eksempler understreger vel, at det netop er den amerikanske bibel-bælte-standard, der er i anvendelse, når der cencureres.

Mht til GooglePlay, så vil jeg kalde det direkte tåbeligt, at acceptere, at en downloaded app må sende sms - med mindre, selvfølgelig, at det er feks en sms-kæde app eller lign, hvor sms forekommer rimeligt.

Johnnie Hougaard Nielsen

Mht til GooglePlay, så vil jeg kalde det direkte tåbeligt, at acceptere, at en downloaded app må sende sms

App'en sendte ikke SMS, og bad ikke om tilladelse dertil. Den viste en reklame, som henviste til en side hvor pigen indtastede telefon nummer. Derefter kom der en SMS fra et overtakseret nummer, således at det kostede penge at svare.

Hvis der skulle skærmes, skulle det være ved at blokere for at kunne sende overtakserede SMS, reklame-trick eller ej. Hun kunne være faldet for samme fup i en ganske almindelig browser.

Morten Krogh Andersen

Nu forstår jeg hvorfor version 2 ukritisk skriver denne slags usammenhængende sludder; det er for at sælge det til ikke-tekniske medier, som værende "troværdigt"

http://www.business.dk/digital/pas-paa-populaer-vejr-app.-narrer-150-kr....

Version 2: Kan I slet ikke selv se at I undergraver jeres egen troværdighed på denne måde?

PS: Hvorfor er artikelen iøvrigt rubriceret under "Sikkerhed*" ? Det handler den jo slet ikke om uagtet ovenstående?

Oliver Billing

Pigen og hendes omgivelser højst sandsynligt ikke kan se forskel på hvad der er app og hvad der er hjemmeside. Defor er det helt naturligt at kæde tingene sammen og derved give app'en skylden og dermed google play.

Vi IT-folk antager alt for tit at brugere har samme abstraktions niveau og vokabular som vi har og derfor designer vi applikationer som folk enten ikke kan finde ud at at bruge eller som kan bruges til at narre penge ud af folk.

Claus Møller

Det med tilladelser kan også være en omgang kryptisk ged, at komme igennem.
Forleden skrev min tlf (Samsung GSIII)at der var opdateringer - bl.a. til Google Searsh. Jeg kikkede i "Tilladelser" og så at de ville have tilladelse til at "optage lyd altid, optage billeder altid".
Så stoppede DEN leg! Hvorfor skal Google have lov til at optage lyd og billeder "altid"? Er "altid" = "altid" eller kun nar app'en er i brug? Og hvorfor mon ikke Google vil svare på det?!? ;-)

Johnnie Hougaard Nielsen

Google Searsh. Jeg kikkede i "Tilladelser" og så at de ville have tilladelse til at "optage lyd altid, optage billeder altid".
Så stoppede DEN leg! Hvorfor skal Google have lov til at optage lyd og billeder "altid"? Er "altid" = "altid" eller kun nar app'en er i brug?

Det er såmænd bare fordi search app'en indeholder en ganske praktisk "Search with camera" funktion. Fx pegede jeg på en gammel CD, og den fandt præcis frem til skiven, og supplerede med en søgning ud fra titlen.

Der kunne argumenteres for mere granulerede permissions, men så blev det blot endnu mere uoverskueligt. Teksterne er desværre noget sværtforståelige og sammenrodede, ja.

Jeg ville godt kunne lide en opdeling i stil med hvad der sker i Chrome browseren, hvor en række tilladelser kan sættes til always/ask/never+exceptions.

Allan S. Hansen
Michael Hansen

Hun har jo trykket på en annonce som leder til en konkurrence, disse konkurrencer findes også på flere danske avis hjemmesider, hvor mange ikke læser den lange sms man modtager om at de må sende sms'er til dig og tage penge for der hver gang, man svarer bare ja. Har hørt om en del der er blevet ramt af dem og de sender som regel mere end en sms.
Løsningen for nogle kan være at spærre for indholdstakserede tjenster, man kan så ikke stemme i x-factor, købe sms billeter og andre af disse tjenester via mobilen.

martin nyhjem

Som jeg læser det, er det ikke en banner reklame pigen har trykket på.
Appen sender uopfordret push meddelelser ud til brugernes telefoner, med spam.
Og hvis man trykker på noget af dette spam, (som altså blot popper frem på telefonen, selvom man ikke bruger appen) så kommer man ind på konkurrence sider, hvor man risikere at komme af med penge.

Dette burde Google i mine øjne stoppe.
Push meddelelser skal ikke bruges til at sende reklamer ud til folk :)

Fra kommentarene på den danske udgave af Google play:

"Sender spam ud med tvivlsom indhold."
"vældig fin widget, der laver push meddelelser på din telefon, her blev min datter på 10 så smidt ind på en side.... og det kostede så mig 150,- kr"

Jesper Høgh
s_ mejlhede

Pigen og hendes omgivelser højst sandsynligt ikke kan se forskel på hvad der er app og hvad der er hjemmeside.


Og der for skal 10 årige piger ikke have adgang til indholdstaktesret SMS/Telefonnummer.
Jeg har også selv slået det fra, det er så lidt surt man ikke kan stemme til X-fakta, eller støtte Danmarks indsamlingen, men det kan man så på andre måder.

Men hvis pigen er under 18 år, så er hvis heller ikke lovligt. Klag over SMS og bestrid den er sendt fra en selv.

Alt sådan noget kunne nem stoppes, hvis teleselskaberne ville, men de får jo selv del i dummebøden.
Opkald fra udlandet med overtakseret nummer, kunne stoppes ved at der ikke var muligt at ringe op fra nummer der var overtakseret. Eller at danske teleselskaber nægtet at udbetale penge til de udenlandske teleselskab, men de er jo selv med svindel, da de også får en del af kagen. Så det har de ingen interesse i.

Hvis man kunne få et nummer gjort "ulovlig" og alle penge skulle tilbage føres fra det danske teleselskab, så var det en løsning på det i morgen.

Nå kom lige af med lidt galle her med 39.1 i feber.

Michael Reiche

Når nu tilladelser for Android apps er nævnt tråden, så vil jeg gerne slå på tromme for at de ændres.

Aktuelt har jeg lige bemærket at der er kommet en opdatering af Danske Banks app "MobilBank DK". Hvis jeg skal opdatere den skal jeg give tilladelse til:

Din placering - Fin (GPS) placering
Tjenester, der koster dig penge - Ring direkte op til telefonnumre
Telefonopkald - Læs telefontilstand og identitet
Netværkskommunikation - Fuld internetadgang
Hardware kontroller - Tag billeder og optag video

Jeg har ikke Danske Bank mistænkt for at ville udnytte nogen af ovenstående, new standards eller ej :-) Men hvorfor skal jeg give tilladelse til at banken kan følge mig hvor som helst og iøvrigt tage billeder efter behag? Det er et typisk billede at nogen apps har så mange features indbygget, så de skal have tilladelse til hvad som helst. Nogen features man måske aldrig vil udnytte. Egentlig vil jeg helst vil nægte dem tilladelse til bestemte områder, men det er jo alt eller intet. Så enten kan jeg installere app'en og acceptere adgang til stort set hvad som helst, eller også lade den være.

Det vil være mere praktisk hvis man i sin profil angiver ja/nej til hver enkelt feature, og så for hver app fik lov til at vælge fra eller til.

Problemet med de overtakserede SMS'er kunne måske løses ved, at indføre at man kan aktivere et filter hvor de ikke afsendes umiddelbart, men bliver parkeret i en udbakke, og først ved endnu en "send nu" derfra blev afsendt. Det vil nok minimere antallet af "uheld" for små pilfingre.

Sune Marcher

Men hvorfor skal jeg give tilladelse til at banken kan følge mig hvor som helst og iøvrigt tage billeder efter behag?


Nu er jeg på ingen måde fan af Danske Bank, men der er sandsynligvis nogle fornuftige grunde til de permissions (mulighed for ringe til bankrådgiver fra appen? Scanne QR koder? ...) - men det kan man bare ikke se fra oversigten.

Kunne være rart hvis man kunne features kunne være optional (hvis app-leverandøren markerede dem som så), og at man for features app-leverandøren påkrævede kunne sige "spørg mig når programmet prøver på det" - så man havde mulighed for at se om permission blev anvendt med skumle bagtanker eller ej.

Det ville nok være lidt tungt og klodset UI-mæssigt, og ikke noget man kunne forvente en standard-bruger kunne forstå, men som para... sikkerhedsbevidst power-user kunne jeg godt tænke mig det :)

Knud Larsen

Til alle jer der har kommenteret.

Vi har oplevet nøjagtigt det samme forløb og det er svært at gennemskue eller gardere sig imod det.

I vores tilfælde var det en voksen som i APPen "Quiz Battle" fik en bannerreklame med teksten
"Kære HTC bruger, din konto er blevet udtrukket til at deltage i en konkurrence om en IPAD mini"

Når man klikkede på bannerreklamen, åbnede et link hvor der stod at man skulle sende en SMS til 1231 for at deltage. SMSen blev sendt via linket og ikke fra telefoniens SMS funktion.
Der var ingen anden tekst, der gav indtryk af at dette havde en økononomisk konsekvens.

Vi tastede telefonnumret ind og fik umiddelbart en SMS med oplysninger om betingelser samt, at firmaet nu havde trukket 150 kr på telefonen. Problemet med denne besked fra firmaet er, at tidspunkt er ændret nogle minutter, så det ser ud som at man har modtaget betingelserne før man sendte SMS en.... I SMSen med betingelserne fra firmaet stod at man kan annullere deltagelsen ved at sende en SMS til 1231 med teksten "stop" Dette koster så igen 150kr.......
Det store problem her er, at man ved at sende en SMS accepterer et abonnement som i yderste konsekvens koster et månedligt beløb via telefonregningen.

Vi kontaktede vores teleudbyder, Onfone, og forklarede problemstillingen. Onfone oplyste at der normalt er 14 dages fortrydelsesret. Onfone kontaktede derefter firmaet og bad dem tilbagebetale de 150 kr. Dette er sket indenfor den sidstes tid og vi venter stadig på om vi får pengene retur.

Det overordnede problem her er at google lever af at sælge reklamer. De har altså ingen interesse i at begrænse bannerreklamer. Det har altså intet at gøre med hvilken APP reklamen er dukket op i, det styrer google suverænt.

Det betyder så bare for den almindelige forbruger, at man indimellem render ind i et firma hvis etik og moral er lidt flosset i kanten.

Det eneste råd, jeg kan give til jer er. Lad være med at åbne de bannerreklamer i får ind via jeres telefoner og forklar det til jeres børn, for det er dem der er målgruppen.

Johnnie Hougaard Nielsen

I vores tilfælde var det en voksen som i APPen "Quiz Battle" fik en bannerreklame med teksten
"Kære HTC bruger, din konto er blevet udtrukket til at deltage i en konkurrence om en IPAD mini"

Hvis den reklame kom via Google AdMob netværket, ser det ud til at være en overtrædelse af reglerne, og så skal der ikke meget til før Google lukker annoncørens konto. AdMob reklamer er markeret med et lille "i" i en cirkel, som ved tryk bliver til en "Ads by Google" knap. AdMob har tilsyneladende "kun" har en markedsandel på omkring 30-40%

Jeg ville snarere forvente at den kom fra et andet annoncenetværk, som Google intet har at gøre med, og dermed selvfølgelig hverken tjener penge på, eller har mulighed for at lave begrænsninger på. Det er heller ikke altid nemt blot at finde ud af hvilket netværk det er, det afhænger jo af hvor åbne de prøver at være.

Jeg er da helt enig i at det er godt at vænne sig til at være yderst tilbageholdende med at åbne reklamer, især hvis de serverer "lokkemad".

Log ind eller Opret konto for at kommentere
Brugerundersøgelse Version2
maximize minimize