image

Oracle verspreidt Ask Toolbar via Java-updates

woensdag 23 januari 2013, 12:31 door Redactie, 20 reacties

Een bekende beveiligingsonderzoeker heeft hard uitgehaald naar Oracle omdat het bedrijf via beveiligingsupdates voor Java standaard de Ask.com toolbar verspreidt. Het vinkje waarmee gebruikers toestemming voor de installatie van de toolbar geven staat standaard ingeschakeld. Daardoor is de kans groot dat gebruikers de toolbar per ongeluk installeren, aangezien ze vaak uit routine op 'Volgende' klikken.

Dat stelt Ben Edelman, een bekende privacy- en adware-onderzoeker. Edelman ontdekte dat een gebruiker niet met de muis op 'Volgende' hoeft te klikken. Ook enter of spatie zijn voldoende om de toolbar te installeren. "Dat is een veel te lage lat", schrijft Edelman. Het zou ook in strijd met de voorwaarden van Google en de Amerikaanse FTC zijn.

Edelman onderzocht de praktijk van Ask.com samen met Windows-watcher Ed Bott. Bott kwam erachter dat Oracle en IAC opzettelijk de installatie van de Ask Toolbar met tien minuten vertragen. Hierdoor zouden gebruikers niet meteen doorhebben dat ze een fout hebben gemaakt om vervolgens de toolbar te verwijderen.

Toestemming
IAC, voorheen bekend als Ask Jeeves, maakt daarnaast wijzigingen die verder gaan dan waar de gebruiker toestemming voor heeft gegeven en maakt deze wijzigingen niet ongedaan bij het verwijderen van de toolbar. Zo vraagt de Oracle/IAC installatie om toestemming een add-on voor IE, Chrome en Firefox te installeren, maar nergens wordt het wijzigen van de zoekbalk in de adresbalk genoemd of het veranderen van de standaard zoekmachine in Chrome. Toch worden deze veranderingen wel doorgevoerd.

Als laatste punt is dat de Java-update alleen nodig is vanwege ernstige beveiligingslekken in Java. "Het is verontrustend om te zien dat Oracle aan dit beveiligingslek geld verdient, door een beveiligingsupdate als een kans te gebruiken om extra advertentiesoftware bij gebruikers door te drukken", aldus Edelman. Die vindt dat vanwege de vele beveiligingsproblemen in Java het nog erger is dat Oracle aan gebundelde installaties doet.

Ook Bott stelt dat Oracle het alleen voor het geld doet. "De reden is vanzelfsprekend geld. Oracle krijgt een commissie voor elke keer dat de toolbar wordt geïnstalleerd. En de Ask installer doet de nodige moeite om de werkwijze te verbergen."

Updaten
"Een beveiligingsupdate zou nooit als een mogelijkheid moeten dienen om aanvullende software te verspreiden. Oracle weet, aan de hand van recente beveiligingsproblemen, maar al te goed dat gebruikers snel software moeten updaten om ernstige lekken te verhelpen", laat Edelman weten.

"Door advertentiesoftware met beveiligingsupdates te bundelen, leert Oracle gebruikers om beveiligingsupdates te wantrouwen, waardoor gebruikers zowel updates van Oracle als anderen niet installeren."

Daarnaast zorgt Oracle door alle trucs ervoor dat de kans verkleind wordt dat eindgebruikers hun computer succesvol updaten. Oracle zou het updaten dan ook zo eenvoudig en snel als mogelijk maken, zonder onnodige stappen te introduceren, stelt Edelman.

Reacties (20)
23-01-2013, 12:42 door WhizzMan
Oracle doet dit al tijden. Adobe heeft ook van dat soort praktijken met het toevoegen van extra troep als je de default install van hun plugins uitvoert. Het is vervelend dat bedrijven dit doen en de reputatieschade die ze er door oplopen is kennelijk minder dan de winst die ze pakken op de installs, of ze hebben er geen goed onderzoek naar gedaan...
23-01-2013, 12:48 door [Account Verwijderd]
[Verwijderd]
23-01-2013, 12:52 door Rasalom
Daardoor is de kans groot dat gebruikers de toolbar per ongeluk installeren, aangezien ze vaak uit routine op 'Volgende' klikken.
Het wordt tijd dat ze bij die mensen de computers in beslag nemen. Die zijn niet meer van deze tijd.
23-01-2013, 13:16 door johanw
Het wordt eerder tijd dat antivirus en antimalware software dit soort toolbars gaan blokkeren i.p.v. te zeuren over verder onbesmette keygens. Maar ja, die bedrijven zijn zeker bang voor rechtszaken a la Zango of kmrijgen ook geld om deze spyware ongemoeid te laten.
23-01-2013, 14:04 door Diego de la Vega
In ben volledig akkoord met het artikel, ik erger mij er ook blauw aan.
23-01-2013, 14:27 door Preddie
Hier heb ik me persoonlijk al langer aan gestoord.

Bij elke update moet ik elke keer weer handmatige het vinkje uitschakelen dat ik de ASK-toolbar niet wilt.

Het lijkt me logischer om deze voorkeur op te slaan en bij volgende updates dit vinkje automatisch uit geschakeld te laten..... Oracle is natuurlijk niet de enige, zoals Whizzman ook al aangeeft heeft Adobe ook dit soort karakteristieken.
23-01-2013, 14:33 door Rubbertje
Dat gebeurt bij zoveel software. Bij alles wat je installeert altijd goed opletten. Nooit standaard ('aanbevolen') installatie doen! Altijd handmatig (zogenaamd alleen voor 'gevorderden') alle vinkjes checken.
23-01-2013, 15:28 door fluffyb53
Als je toch Java nodig hebt, beter langs Ninite of PatchMyPc. Zero toolbars..
23-01-2013, 15:56 door Anoniem
Ben het er helemaal mee eens dat ze dit niet zo moeten doen.
Maar denk ook eens na over het volgende.

We willen alles gratis hebben, maar natuurlijk maken dit soort bedrijven kosten om deze software te ontwikkelen die een aantal van ons blijkbaar toch nodig heeft!
Dus wat is het alternatief voor een bedrijf om inkomsten te krijgen om hiermee door te kunnen gaan?
''Schone'' software waarvoor iedereen dan moet betalen of software met reclame voor iedereen of verdienen ze genoeg aan de mensen niet goed opletten wat ze precies installeren?

Voor niets gaat de zon op!
23-01-2013, 17:08 door Anoniem
Ik check altijd of het vinkje uit staat en anders onmiddellijk verwijderen met Revo die Askbagger.
23-01-2013, 20:28 door Anoniem
Als ze nu eens al die oude reclame inkomsten gebruikten om degelijke (lees: niet-lekke) producten aan te bieden....
maar ja, zo 'betalen' we voor brakke meuk.
24-01-2013, 07:07 door Anoniem
HitmanPro maakt korte metten met deze sneaky toolbars
24-01-2013, 07:39 door Anoniem
Zou mij ook niks verbazen, als antivirus firma's
via via ook mensen in dienst hebben die zelf virussen
schrijven, anders zijn ze in no time werkeloos.

Bart
24-01-2013, 10:03 door Anoniem
Ook irritant bij zowel Oracle (Ask Toolbar) als Adobe (Google Chrome) is dat je echt het checkbox-vakje zelf moet aanklikken, daar waar normaliter de tekst achter een checkbox ook fungeert als knop/label.
24-01-2013, 16:45 door Anoniem
ADWCLENER (franse site) haalt alle toolbars en stiekeme dingen weg, waar andere anti-vrus/spyware faalt.

Bijvoorbeeld haalt ook Babylon weg (dat is klaarblijkelijk een heel moeilijk te verwijderen), en natuurlijk ook ASK.
26-01-2013, 11:27 door swchuong
Vraag me altijd af over Ask:
- Wie wilt serieus Ask-toolbar(of andere) gebruiken in zijn browser?
Toolbars is niet meer van deze tijd.
- Ander vraag, zijn toolbars nou onveilig? Vooral de Ask?

Vraag over Java:
Heb nu sinds de waarschuwingen van "onveilige Java" de plug-in uitgeschakeld. Raar eraan is, ben nog geen website tegen gekomen waar je Java voor nodig hebt.

-Vraag is dus, wat is de nut van Java in de browser? In Windows omgeving gebruik ik het wel.
-Welke website gebuikt dit dan?


Ontopic: Software van 3de ontkom je niet tijdens het installeren, vooral bij freeware.
29-01-2013, 22:40 door Anoniem
Nog een toevoeging op bovenstaande reacties: ASK geeft heel andere zoekresulaten en leidt vaak naar sites die nioet de oorspronkelijke zijn. Als je bijvoorbeeld de virusscanner van MicroSoft wilt downloaden krijg je een hele reeks van sites die MicroSoft Security Essentials ook aanbieden maar dan met allerlei extra's waar je niet om gevraagd hebt.
Het is zeer kwalijk dat een bedrijf als Oracle zich inlaat met deze praktijken en dat nadat ze keer op keer negatief voor het voetlicht komen vanwege beveiligingslekken in JAVA. Toen ik het schermpje waar de ASK toolbar aangevinkt wordt wilde vastleggen met ALT + PrtScrn, verdween het en kon ik niet meer zien of het vinkje er nog stond. Ook dat lijkt me misleidend.
02-03-2013, 08:56 door Anoniem
Onsympathieke en kwalijke praktijken van Oracle. Ik dacht dat ik altijd goed oplet op dit soort vinkjes, maar gisteren ben ik er kennelijk toch ingestonken bij het toestemming geven voor de Java update. Vandaag bij het opstarten vroeg Firefox mij opeens of ik de Ask toolbar wilde toestaan. Nee dus. Maar dat is wel het goede nieuws: Firefox laat deze toolbar niet zomaar toe. Lang leve Firefox!
12-09-2013, 19:57 door Anoniem
Bij mijn oude moeder stond die sh1t van ask er ook op, wilde ik het verwijderen krijg ik een melding dat ik geen toestemming heb :S
16-01-2014, 20:49 door Anoniem
Door Anoniem: Zou mij ook niks verbazen, als antivirus firma's
via via ook mensen in dienst hebben die zelf virussen
schrijven, anders zijn ze in no time werkeloos.

Bart

Daar was ik een paar jaar geleden al achter gekomen. Was een of andere worm ( compvirus) geschreven door een tot dan onbekend iemand die gelijk daarna bij Norton een baan kreeg !!!! Norton, nog zo iets opdringerigs. Tenminste, wij vinden het opdringerig, amerikanen vinden dat vrij normaal..' tis maar wat je gewend bent.
Inderdaad is het zo dat voor niets de zon opgaat, maar als zij aan iedereen een halve euro per jaar zouden vragen voor reclame vrije en lekvrije software ( zie whatsapp ) , dan zou iedereen dat graag betalen. Ik ergerde mij er ook dood aan toen ik de eerste keer gewoon doorklikte en weer vijf minuten bezig was die shit eraf te krijgen...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.