Populær vejr-app til Android narrer 150 kroners-sms'er ud af danskere

11. marts 2013 kl. 09:1837
Det er langt fra risikofrit at downloade apps fra Googles onlineforretning Play, hvorfra skadelig software finder vej ned på brugernes telefoner. Google bør stramme op, mener ekspert.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

En sms til 150 kroner. Det kan være resultatet af at have installeret en tilsyneladende helt uskyldig vejr-applikation fra Googles online-softwarebutik Play.

I modsætning til Apples pendant App Store, så er der mindre kontrol med det indhold, Google giver brugerne adgang til via Play, og det er problematisk, fordi brugerne dermed har langt større risiko for at installere skadelige programmer på deres mobile enheder, mener Graham Cluely, teknisk konsulent i it-sikkerhedsvirksomheden Sophos.

»Det er et problem, og Google bør fikse det. Jeg mener, det er alt for let af publicere applikationer på Google Play. Folk går ud fra, at apps derfra er sikre,« siger han til Version2.

Google Play-bruger Peter Gosvig skriver i en anmeldelse af en app, der på dansk kalder sig Vejr Widget, følgende på Google Play:

Artiklen fortsætter efter annoncen

'Vældig fin widget, der laver push-meddelelser på din telefon. Herfra blev min datter på 10 så smidt ind på en side, hvor hun skulle indtaste mobilnummer for at vinde en iPad. Hun svarede glad på den sms, der kom retur, og det kostede så mig 150 kr., så nul stjerner fra mig.'

Version2 har været i kontakt med Peter Gosvig, som bekræfter forløbet. Og et kig i den engelske udgave af Google Play viser da også, at flere brugere har klaget over spam-adfærd fra app’en, som i skrivende stund i den danske udgave lægger sig blandt de første hits under en søgning på ‘vejr’.

iPhone er bedre

Graham Cluely vurderer, at problemet med skadelige programmer på smartphones er stigende, men det berører stort set kun telefoner med Googles Android-styresystem, som altså henter deres programmer via Googles Play-tjeneste.

»iPhone-oplevelsen er efter min mening i denne sammenhæng bedre. Apple ville simpelthen ikke tillade sådan en app i deres butik. Og hvis den dukkede op, så ville de meget hurtigt fjerne den,« siger han.

Brugerne kan sikre sig, inden de henter en app, blandt andet ved at læse anmeldelserne af den og se på, hvem der har udgivet den, påpeger Graham Cluely, som dog mener, det i sidste ende er Googles opgave at minimere mængden af skadeligt indhold på Play.

»Set fra et sikkerhedsmæssigt synspunkt, så er det mindre sikkert at hente apps derfra, end det vil være i iPhone-butikken. Man risikerer potentielt sine data og sine finanser, hvis man ikke er meget, meget forsigtig,« siger han.

Derfor mener sikkerhedseksperten overordnet set, at Google bør bevæge sig mere i retning af Apples model og blive bedre til at screene for skadelig software, inden det når brugerne.

»Jeg plejede at have en Android-telefon. Nu har jeg ikke en Android-telefon. Jeg har en iPhone. Selvom iPhone uheldigvis ikke tillader mig at installere et anti-virus program, hvilket jeg gerne vil klage til Apple over, så føler jeg mig mere sikker med den, end med Android,« siger Cluely.

Talsperson for Google Christine Sørensen har i en mail til Version2 svaret på opfordringen til at forbedre sikkerheden i Google Play:

'Det er en klar topprioritet for os, at Google Play giver vores brugere en sikker oplevelse og at deres oplysninger er sikkert beskyttet. Google Play er styret af en klart defineret indholdspolitik, som udviklere skal overholde samt en sikkerhedsmodel baseret dels på brugertilladelse og på sandboxing mellem applikationerne. Applikationer, som ikke overholder vores indholdspolitik, bliver fjernet fra Google Play,' skriver hun og fortsætter:

'Sidste år åbnede vi for en ny tjeneste i Google Play, som automatisk skanner potentielt ondsindet software uden dog at forstyrre eller ødelægge brugeroplevelsen eller skulle tvinge udviklere gennem en lang godkendelsesproces af deres applikation.'

Version2 har kontaktet udvikleren af Vejr Widget, der dog ikke har reageret på henvendelsen. Den finske antivirus-virksomhed F-Secure har på Version2’s foranledning kigget på app’en og bekræfter, at den indeholder funktionalitet, der kan sende brugeren videre til forskellige steder, der som sådan ikke har noget med vejr at gøre.

37 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
37
18. marts 2013 kl. 01:38

Sjældent set så dårlig et forsøgt på at skujle en apple reklame.

35
17. marts 2013 kl. 08:42

Til alle jer der har kommenteret.

Vi har oplevet nøjagtigt det samme forløb og det er svært at gennemskue eller gardere sig imod det.

I vores tilfælde var det en voksen som i APPen "Quiz Battle" fik en bannerreklame med teksten "Kære HTC bruger, din konto er blevet udtrukket til at deltage i en konkurrence om en IPAD mini"

Når man klikkede på bannerreklamen, åbnede et link hvor der stod at man skulle sende en SMS til 1231 for at deltage. SMSen blev sendt via linket og ikke fra telefoniens SMS funktion. Der var ingen anden tekst, der gav indtryk af at dette havde en økononomisk konsekvens.

Vi tastede telefonnumret ind og fik umiddelbart en SMS med oplysninger om betingelser samt, at firmaet nu havde trukket 150 kr på telefonen. Problemet med denne besked fra firmaet er, at tidspunkt er ændret nogle minutter, så det ser ud som at man har modtaget betingelserne før man sendte SMS en.... I SMSen med betingelserne fra firmaet stod at man kan annullere deltagelsen ved at sende en SMS til 1231 med teksten "stop" Dette koster så igen 150kr....... Det store problem her er, at man ved at sende en SMS accepterer et abonnement som i yderste konsekvens koster et månedligt beløb via telefonregningen.

Vi kontaktede vores teleudbyder, Onfone, og forklarede problemstillingen. Onfone oplyste at der normalt er 14 dages fortrydelsesret. Onfone kontaktede derefter firmaet og bad dem tilbagebetale de 150 kr. Dette er sket indenfor den sidstes tid og vi venter stadig på om vi får pengene retur.

Det overordnede problem her er at google lever af at sælge reklamer. De har altså ingen interesse i at begrænse bannerreklamer. Det har altså intet at gøre med hvilken APP reklamen er dukket op i, det styrer google suverænt.

Det betyder så bare for den almindelige forbruger, at man indimellem render ind i et firma hvis etik og moral er lidt flosset i kanten.

Det eneste råd, jeg kan give til jer er. Lad være med at åbne de bannerreklamer i får ind via jeres telefoner og forklar det til jeres børn, for det er dem der er målgruppen.

36
17. marts 2013 kl. 16:16

I vores tilfælde var det en voksen som i APPen "Quiz Battle" fik en bannerreklame med teksten
"Kære HTC bruger, din konto er blevet udtrukket til at deltage i en konkurrence om en IPAD mini"

Hvis den reklame kom via Google AdMob netværket, ser det ud til at være en overtrædelse af reglerne, og så skal der ikke meget til før Google lukker annoncørens konto. AdMob reklamer er markeret med et lille "i" i en cirkel, som ved tryk bliver til en "Ads by Google" knap. AdMob har tilsyneladende "kun" har en markedsandel på omkring 30-40%

Jeg ville snarere forvente at den kom fra et andet annoncenetværk, som Google intet har at gøre med, og dermed selvfølgelig hverken tjener penge på, eller har mulighed for at lave begrænsninger på. Det er heller ikke altid nemt blot at finde ud af hvilket netværk det er, det afhænger jo af hvor åbne de prøver at være.

Jeg er da helt enig i at det er godt at vænne sig til at være yderst tilbageholdende med at åbne reklamer, især hvis de serverer "lokkemad".

33
12. marts 2013 kl. 20:32

Når nu tilladelser for Android apps er nævnt tråden, så vil jeg gerne slå på tromme for at de ændres.

Aktuelt har jeg lige bemærket at der er kommet en opdatering af Danske Banks app "MobilBank DK". Hvis jeg skal opdatere den skal jeg give tilladelse til:

Din placering - Fin (GPS) placering Tjenester, der koster dig penge - Ring direkte op til telefonnumre Telefonopkald - Læs telefontilstand og identitet Netværkskommunikation - Fuld internetadgang Hardware kontroller - Tag billeder og optag video

Jeg har ikke Danske Bank mistænkt for at ville udnytte nogen af ovenstående, new standards eller ej :-) Men hvorfor skal jeg give tilladelse til at banken kan følge mig hvor som helst og iøvrigt tage billeder efter behag? Det er et typisk billede at nogen apps har så mange features indbygget, så de skal have tilladelse til hvad som helst. Nogen features man måske aldrig vil udnytte. Egentlig vil jeg helst vil nægte dem tilladelse til bestemte områder, men det er jo alt eller intet. Så enten kan jeg installere app'en og acceptere adgang til stort set hvad som helst, eller også lade den være.

Det vil være mere praktisk hvis man i sin profil angiver ja/nej til hver enkelt feature, og så for hver app fik lov til at vælge fra eller til.

Problemet med de overtakserede SMS'er kunne måske løses ved, at indføre at man kan aktivere et filter hvor de ikke afsendes umiddelbart, men bliver parkeret i en udbakke, og først ved endnu en "send nu" derfra blev afsendt. Det vil nok minimere antallet af "uheld" for små pilfingre.

34
12. marts 2013 kl. 22:20

Men hvorfor skal jeg give tilladelse til at banken kan følge mig hvor som helst og iøvrigt tage billeder efter behag?

Nu er jeg på ingen måde fan af Danske Bank, men der er sandsynligvis nogle fornuftige grunde til de permissions (mulighed for ringe til bankrådgiver fra appen? Scanne QR koder? ...) - men det kan man bare ikke se fra oversigten.

Kunne være rart hvis man kunne features kunne være optional (hvis app-leverandøren markerede dem som så), og at man for features app-leverandøren påkrævede kunne sige "spørg mig når programmet prøver på det" - så man havde mulighed for at se om permission blev anvendt med skumle bagtanker eller ej.

Det ville nok være lidt tungt og klodset UI-mæssigt, og ikke noget man kunne forvente en standard-bruger kunne forstå, men som para... sikkerhedsbevidst power-user kunne jeg godt tænke mig det :)

31
12. marts 2013 kl. 03:48

På den anden side vel ikke værre end at man nu ikke kan klikke på link fra nyhedsbrevet og komme til sagen.

Min browser kan simpelthen ikke indstilles til at gå via manage.com/track/u=.....

Irriterende.

30
12. marts 2013 kl. 03:30

ser jeg, at både ing og v2 har droppet deres android apps - ellere rettere de apps, som de i sin tid byggede på 3.part malware nu er væk.

Godt for os, men hvad med de stakkels os(x) brugere?

23
11. marts 2013 kl. 21:48

Hvilken app er der tale om? Google play giver hos mig en del forskellige apps når jeg skriver vejr widget. Muligvis er mit standardsprog indstillet til engelsk, derfor - Tak!

24
11. marts 2013 kl. 22:20

Jeg giver dem ikke et link, men på engelsk hedder den "Weather Widget", fra des-soft.

22
11. marts 2013 kl. 17:11

Som jeg læser det, er det ikke en banner reklame pigen har trykket på. Appen sender uopfordret push meddelelser ud til brugernes telefoner, med spam. Og hvis man trykker på noget af dette spam, (som altså blot popper frem på telefonen, selvom man ikke bruger appen) så kommer man ind på konkurrence sider, hvor man risikere at komme af med penge.

Dette burde Google i mine øjne stoppe. Push meddelelser skal ikke bruges til at sende reklamer ud til folk :)

Fra kommentarene på den danske udgave af Google play:

"Sender spam ud med tvivlsom indhold." "vældig fin widget, der laver push meddelelser på din telefon, her blev min datter på 10 så smidt ind på en side.... og det kostede så mig 150,- kr"

21
11. marts 2013 kl. 16:27

Hun har jo trykket på en annonce som leder til en konkurrence, disse konkurrencer findes også på flere danske avis hjemmesider, hvor mange ikke læser den lange sms man modtager om at de må sende sms'er til dig og tage penge for der hver gang, man svarer bare ja. Har hørt om en del der er blevet ramt af dem og de sender som regel mere end en sms. Løsningen for nogle kan være at spærre for indholdstakserede tjenster, man kan så ikke stemme i x-factor, købe sms billeter og andre af disse tjenester via mobilen.

18
11. marts 2013 kl. 15:31

Det med tilladelser kan også være en omgang kryptisk ged, at komme igennem. Forleden skrev min tlf (Samsung GSIII)at der var opdateringer - bl.a. til Google Searsh. Jeg kikkede i "Tilladelser" og så at de ville have tilladelse til at "optage lyd altid, optage billeder altid". Så stoppede DEN leg! Hvorfor skal Google have lov til at optage lyd og billeder "altid"? Er "altid" = "altid" eller kun nar app'en er i brug? Og hvorfor mon ikke Google vil svare på det?!? ;-)

19
11. marts 2013 kl. 16:17

Google Searsh. Jeg kikkede i "Tilladelser" og så at de ville have tilladelse til at "optage lyd altid, optage billeder altid".
Så stoppede DEN leg! Hvorfor skal Google have lov til at optage lyd og billeder "altid"? Er "altid" = "altid" eller kun nar app'en er i brug?

Det er såmænd bare fordi search app'en indeholder en ganske praktisk "Search with camera" funktion. Fx pegede jeg på en gammel CD, og den fandt præcis frem til skiven, og supplerede med en søgning ud fra titlen.

Der kunne argumenteres for mere granulerede permissions, men så blev det blot endnu mere uoverskueligt. Teksterne er desværre noget sværtforståelige og sammenrodede, ja.

Jeg ville godt kunne lide en opdeling i stil med hvad der sker i Chrome browseren, hvor en række tilladelser kan sættes til always/ask/never+exceptions.

16
11. marts 2013 kl. 14:35

Pigen og hendes omgivelser højst sandsynligt ikke kan se forskel på hvad der er app og hvad der er hjemmeside. Defor er det helt naturligt at kæde tingene sammen og derved give app'en skylden og dermed google play.

Vi IT-folk antager alt for tit at brugere har samme abstraktions niveau og vokabular som vi har og derfor designer vi applikationer som folk enten ikke kan finde ud at at bruge eller som kan bruges til at narre penge ud af folk.

32
12. marts 2013 kl. 10:22

Pigen og hendes omgivelser højst sandsynligt ikke kan se forskel på hvad der er app og hvad der er hjemmeside.

Og der for skal 10 årige piger ikke have adgang til indholdstaktesret SMS/Telefonnummer. Jeg har også selv slået det fra, det er så lidt surt man ikke kan stemme til X-fakta, eller støtte Danmarks indsamlingen, men det kan man så på andre måder. Men hvis pigen er under 18 år, så er hvis heller ikke lovligt. Klag over SMS og bestrid den er sendt fra en selv.

Alt sådan noget kunne nem stoppes, hvis teleselskaberne ville, men de får jo selv del i dummebøden. Opkald fra udlandet med overtakseret nummer, kunne stoppes ved at der ikke var muligt at ringe op fra nummer der var overtakseret. Eller at danske teleselskaber nægtet at udbetale penge til de udenlandske teleselskab, men de er jo selv med svindel, da de også får en del af kagen. Så det har de ingen interesse i.

Hvis man kunne få et nummer gjort "ulovlig" og alle penge skulle tilbage føres fra det danske teleselskab, så var det en løsning på det i morgen.

Nå kom lige af med lidt galle her med 39.1 i feber.

17
11. marts 2013 kl. 14:37

Men så burde Version 2, som "IT medie" vel skrive en lidt mere kritisk artikel? Det er jo med udgangspunkt i den vi diskuterer..

15
11. marts 2013 kl. 14:34

Nu forstår jeg hvorfor version 2 ukritisk skriver denne slags usammenhængende sludder; det er for at sælge det til ikke-tekniske medier, som værende "troværdigt"

http://www.business.dk/digital/pas-paa-populaer-vejr-app.-narrer-150-kr.-fra-dig

Version 2: Kan I slet ikke selv se at I undergraver jeres egen troværdighed på denne måde?

PS: Hvorfor er artikelen iøvrigt rubriceret under "Sikkerhed*" ? Det handler den jo slet ikke om uagtet ovenstående?

12
11. marts 2013 kl. 13:10

Selvom Apple cencurerer apps, der udgives på AppStore, så frasorteres der vel kun de apps, der ikke overholder den amerikanske bibel-bælte-standard.

1: Peter Øvig Knudsens app/bog om tiden i Frøslevlejren blev forbudt pga bare bryster.

2: Spil målrettet børn, og som bevidst forsøger at lænse forældrenes kreditkort, blev godkendt.

Og begge disse eksempler understreger vel, at det netop er den amerikanske bibel-bælte-standard, der er i anvendelse, når der cencureres.

Mht til GooglePlay, så vil jeg kalde det direkte tåbeligt, at acceptere, at en downloaded app må sende sms - med mindre, selvfølgelig, at det er feks en sms-kæde app eller lign, hvor sms forekommer rimeligt.

13
11. marts 2013 kl. 13:20

Mht til GooglePlay, så vil jeg kalde det direkte tåbeligt, at acceptere, at en downloaded app må sende sms

App'en sendte ikke SMS, og bad ikke om tilladelse dertil. Den viste en reklame, som henviste til en side hvor pigen indtastede telefon nummer. Derefter kom der en SMS fra et overtakseret nummer, således at det kostede penge at svare.

Hvis der skulle skærmes, skulle det være ved at blokere for at kunne sende overtakserede SMS, reklame-trick eller ej. Hun kunne være faldet for samme fup i en ganske almindelig browser.

14
11. marts 2013 kl. 14:24

Bare lige for at det gøres rigtigt:

Betalingen foretages i det øjeblik at SMS'en bliver modtaget. Det er derfor når man sender "Ja" tilbage så får man en bekræftelse og det er denne bekræftelse som koster penge.

11
11. marts 2013 kl. 12:37

Det lyder lidt hen af samme problem som der er på iOS med muligheden for at bruge rigtig mange penge.

Men forskellen er åbenbart at man her meget "smart" bliver bedt om at indtaste sit telefon nummer for at deltage i konkurrence...

9
11. marts 2013 kl. 12:34

En smartphone er en computer. Installation af programmel på en computer kan være farligt hvis det er skadelig kode, ligegyldigt om det hedder en App eller ej og er til en smartphone eller ej.

Pas på, på samme måde, som mange (men ikke alle) gør med en 'traditionel' computer, og mange problemer kan undgås.

Med sund fornuft kommer man meget langt.

7
11. marts 2013 kl. 12:24

En app som på verdensplan har under 100.000 downloads kan ikke just kaldes populær, og det må antages kun at være ganske få som hopper på tricket med det falske lotteri og efterfølgende sende en overtakseret SMS.

På den anden side er den lidt sneaky, på den måde at de tilladelser som den beder om ikke ser skræmmende ud. Det er jo så også derfor at de tager omvejen med en snyde-reklame, hvor den naive bruger selv skal udføre en aktiv handling for at blive snydt.

Men det er faktisk meget analogt med at reagere på en "lotteri" reklame eller email spam. Så det er ikke et Android platform specifikt problem.

2
11. marts 2013 kl. 11:12

Det ligner mere en gang ansvarsfraskrivelse, set i lyset af den bragte det-kostede-en-masse-penge" historie. Skal mobilproducenten så også have skylden hvis datteren sender en 150 kroners sms til en indsamling el. lign fordi der reklameres for denne i en in-app reklame?

Graham Cluely kunne starte med at lære sit datter om informationssorting og kildekritik, herunder at intet er gratis; det kan man ikke starte på for tidligt.

1
11. marts 2013 kl. 10:55

Der popper et skærmbillede frem, når man installerer en app, der kræver bestemte tilladelser på telefonen, via Google's Play Store. Det betyder altså at man kan aflæse hvad app'en helt konkret skal bruge af tilladelser og hvad den skal bruge dem til.

Det er ret ligetil. Kan man ikke acceptere en app skal bruge f.eks. netværksadgang til at hente/sende data, så har man her chancen for at stoppe, og ikke installere app'en.

At app'en så sender reklame-relaterede notifikationer er noget andet. Herfra er det brugeren, der foretager et valg. I dette tilfælde har datteren trykket på notifikationen og indtastet sit telefonnummer. Der er altså sket to handlinger allerede her. Intet er sket af sig selv.

Nu ved jeg godt at dømmekraften hos en 10-årig ikke er den bedste. Men så må det være op til forældrene at sætte restriktioner på telefonen. Dette kan sagtens lade sig gøre, både på Android og iPhone. Nyere Android-telefoner har endda multi-user support.

6
11. marts 2013 kl. 11:43

Hvis din beskrivelse er korrekt - og sms bliver sendt til, og bekræftet fra, den telefon hvor app'en bliver installeret, er jeg enig med dig i at det må være brugerens ansvar.

Jeg er dog lidt i tvivl om hvorvidt "hun svarede glad på den sms der kom retur og det kostede så mig 150,- " skal opfattes om om faderens telefon blev bonnet, eller det blot er ham der betaler datteres regning.

Kan man sætte loft over hvor mange penge en app trækker over telfonregningen, og hvad sker der i givet fald når loftet nås?

Jeg er lidt uvidende, da jeg ikke har en smartphone, men kun en "smart mobil" der kan holde strøm i en hel uge :-)

8
11. marts 2013 kl. 12:25

Jeg læser det som om at pigen har klikket på et eller andet, som lige så godt kunne være en in-app reklame, som ledte hende til en ekstern side, hvorfra hun så fik en sms. Det var svaret på denne sms der kostede penge, og det havde derfor ikke noget at gøre med app'en, men med brugerens (her barnets) forståelse for sund kritisk sans i en kapitalistisk verden..

Hvis en app sender brugeren til alle mulige irrelevante sites, skal den naturligvis afinstalleres med det samme, med mindre man, baseret på dens krævede tilladelser, kunne se at den var lidt for "grådig" i sine behov. Så skulle den slet ikke installeres.

Jeg tror ikke det er muligt at begrænse en apps' forbrug..

10
11. marts 2013 kl. 12:34

Morten Krogh rammer lige på sømmet. Det er jo slet ikke app'en der gør noget her. Det er bare en bannerreklame som fører til et skidt site.

Hvis det var app'en ville datteren ikke have brug for at indtaste hendes telefonnummer og hun ville ikke have brug for at svare på noget.

3
11. marts 2013 kl. 11:18

At det skærmbillede fremkommer og kræver accept, er vel mere googles måde at ansvarsfraskrive sig, fremfor en reel oplysning for brugeren. Jeg tror de færreste reelt læser denne, og heller ikek forstår hvad de reelt svarer på, og hvad et givent app kræver for at fungere.

5
11. marts 2013 kl. 11:25

Jeg kan garantere dig for at jeg nærlæser de krævede tilladelser under installation af især spil. Det er klart at Google kan fraskrive sig et ansvar, men at betragte det som det primære formål med at en apps tilladelser synliggøres for brugeren er helt skudt ved siden af, efter min mening. Det er klart at ikke alle læser tilladelser, men man får muligheden, hvilket man ikke gør på en anden nævnt platform - så vidt jeg husker..