Uwaga na fleeceware

Pamiętacie, jak w filmie „Pulp Fiction” wynajęty morderca Vincent Vega chciał spróbować koktajlu mlecznego tylko dlatego, że kosztował 5 dolarów? To całkowicie normalna reakcja — wiele osób automatycznie kojarzy wysoką cenę z wyższą jakością. A zatem, jeśli drogi produkt można wypróbować bezpłatnie, to testują go nawet ci, którzy nie planują go zakupić. Ten ludzki mechanizm wykorzystują czasami niektórzy producenci aplikacji na smartfony.

Cena ciekawości

Pod koniec września badacz pracujący w obszarze zabezpieczeń informacji odkrył w sklepie Google Play grupę kalkulatorów, skanerów kodów QR, narzędzi umożliwiających edycję zdjęć i innych programów oferujących podstawową funkcjonalność po dość zawyżonych cenach subskrypcji sięgających nawet 200 euro za miesiąc. Aplikacje te zostały pobrane przez dziesiątki milionów osób, o ile nie więcej.

Aplikacje były dostępne w trzydniowym darmowym okresie próbnym. Po uświadomieniu sobie, że subskrypcja takiej aplikacji nie ma sensu, wielu użytkowników usuwało ją ze swoich urządzeń. A mimo to nadal musieli płacić.

Jak to się stało? Po pierwsze, gdy ofiary po raz pierwszy chciały uruchomić aplikację, musiały wprowadzić w niej szczegóły finansowe — w przeciwnym razie nie uruchamiała się ona. Dzięki temu podstępne aplikacje obciążały konta bankowe za subskrypcje, nie informując o tym nawet użytkownika.

Po drugie, dezinstalacja aplikacji z urządzenia nie jest równoznaczne z zerwaniem subskrypcji. To oczywiste — dzięki temu nie tracisz na przykład swoich playlist w aplikacji do odtwarzania muzyki, gdy usuniesz ją przez przypadek, przywrócisz urządzenie do ustawień fabrycznych czy użyjesz aplikacji na nowym telefonie. Jednak wiele osób nie wie o tym niuansie. Czasami ktoś zapomni anulować subskrypcję i właśnie z tego żyją autorzy oprogramowania fleeceware.

Nie do końca szkodliwy program

Dlaczego takie aplikacje były dostępne w sklepie Google Play? Niestety z technicznego punktu widzenia „pozłacane” kalkulatory i skanery QR nie naruszają reguł sklepu. Działają zgodnie z deklaracjami, nie żądają niepotrzebnych uprawnień, a także nie zawierają szkodliwego kodu. Jeśli chodzi o ceny subskrypcji, żadne z aktualnych reguł sklepu Google Play nie maju tu żadnych wytycznych.

W wielu krajach można ustawić górny limit — jednak będzie on również obejmował zaawansowany edytor filmów, który może być wyceniony tak samo jak skaner QR czy aplikacja uruchamiająca latarkę. Na chwilę pisania tego posta w Polsce pułap ten wynosi 1600 zł, jednak w większości krajów Unii Europejskiej oraz Wielkiej Brytanii wynosi znacznie mniej — odpowiednio 350 dolarów i 300 funtów. Jeśli cena za subskrypcję jest niższa, sklep akceptuje aplikację — po czym użytkownicy sami decydują, czy chcą płacić za wybrane funkcje. A jeśli nie zrozumieją, jak działa subskrypcja, pretensje mogą mieć tylko do siebie.

Niemniej jednak gdy firma Google dowiedziała się o takim problemie, usunęła 14 z 15 takich aplikacji ze sklepu Google Play — i niemal natychmiast badacze znaleźli kolejne dziewięć. W rzeczywistości największe sklepy z aplikacjami oferują całe mnóstwo takich programów.

Fleeceware: nowa nazwa dla starej sztuczki

Takich aplikacji nie można opisać jako szkodliwe oprogramowanie, zatem wynaleziono dla nich nowy termin: fleeceware. Jednak pomimo tego, że nazwa jest nowa, sama zasada — oferta darmowego okresu próbnego płatnej subskrypcji napisana drobnym drukiem — już jest od jakiegoś czasu na rynku i wykorzystują ją nie tylko producenci aplikacji mobilnych.

Na przykład w latach 2011–2012 pewna grupa ludzi rozsyłała do kobiet w Brytanii propozycję rzekomo darmowych próbek kremów do twarzy, które należało zamówić online. Podczas składania zamówienia użytkownicy byli automatycznie zapisywani do uiszczania miesięcznej płatności w wysokości 60–70 funtów. Ten mały szczegół był napisany małą czcionką i nie dostrzegło go wiele osób.

Fleeceware dla systemu iOS

Naturalnie problem ten nie dotyczy tylko platformy Android; producenci aplikacji typu fleeceware nie zapomnieli o systemie iOS. Na przykład w 2017 roku aplikacja o nazwie „Mobile Protection: Clean & Security VPN” została usunięta ze sklepu App Store. Pobrało ją 50 tysięcy użytkowników, a co najmniej 200 z nich postanowiło wypróbować opartą na subskrypcji usługę wirtualnej sieci prywatnej, którzy zostali oszukani (wspomniana tu zasada trzech dni za darmo). Każdą z takich osób ciekawość kosztowała 400 dolarów za miesiąc.

Nie trzeba było wykupować subskrypcji na inne funkcje aplikacji, chociaż i tak nie było z nich pożytku. Na przykład jedna z aplikacji czyściła telefon, ale nie z plików tymczasowych i nieużywanych aplikacji, ale tylko ze zduplikowanych kontaktów.

Innym przykładem fleeceware dla iOS był skaner kodów QR. Po uruchomieniu aplikacja żądała podania szczegółów płatniczych, aby można było zapisać się do darmowego okresu próbnego. Po trzech dniach zaczynała pobierać 3,99 dol. tygodniowo.

Po kilku takich incydentach firma Apple zaczęła blokować aplikacje, które niezbyt jasno opisywały warunki subskrypcji. Z kolei w iOS 13 pojawia się ostrzeżenie, gdy zarejestrowana zostanie próba dezinstalacji aplikacji z aktywną subskrypcją.

Jak zapewnić sobie bezpieczeństwo przed fleeceware

Fleeceware wykorzystuje naturalną ciekawość ludzi, ich niedbalstwo, skłonność do posiadania czegoś za darmo oraz niechęć do wczytywania się w warunki subskrypcji. Aby więc nie paść ofiarą tej sztuczki, zachowaj zimną krew, gdy zobaczysz coś naprawdę niezwykłego.

• Nie pobieraj aplikacji oferujących prymitywne funkcje po zawyżonej cenie lub po wykupieniu subskrypcji. Najprawdopodobniej nie ma w nich nic wyjątkowego.
• Zanim zainstalujesz jakąś aplikację, przeczytaj opinie o niej i o jej producencie. Informacje na temat podobnych oszustw prawdopodobnie znajdziesz w internecie.
• Gdy zapiszesz się do darmowego okresu próbnego i nie masz zamiaru płacić za aplikację w przyszłości, pamiętaj, aby skutecznie zrezygnować ze subskrypcji. W przypadku systemu Android możesz tego dokonać w sekcji zarządzania subskrypcjami w sklepie Google Play, a na urządzeniu iPhone lub iPad należy skorzystać z serwisu iTunes.