lunedì 30 settembre 2019

Sophos, attenzione ad app Fleeceware: utenti derubati su Play Store


Sviluppatori di applicazioni senza scrupolo hanno individuato una lacuna all’interno delle policy del Play Market, riuscendo così ad addebitare agli utenti centinaia di euro. I SophosLabs hanno scoperto un elevato numero di app Android presenti sul Google Play Market che hanno come unico obiettivo quello di “spennare” gli utenti offrendo funzionalità base disponibili su applicazioni gratuite o a basso costo. Come nel caso delle app iOS per iPhone disponibili sull’App Store, gli sviluppatori di queste app approfittano di un modello di business disponibile nell’ecosistema del Play Market in cui gli utenti possono scaricare e usare un’applicazione gratuitamente per breve periodo.

Quando la prova finisce, se l’utente che ha installato queste app non ha disinstallato ed informato lo sviluppatore di non voler più usufruire del servizio, lo sviluppatore addebita un costo. In caso di app legittime questo processo può costare pochi euro. Ma in questo caso vengono invece addebitati centinaia di euro (o dollari, in base alla zona geografica in cui risiede l’utente). Queste applicazioni non sembrano malevole né contenere codice pericoloso: alcune possono anche risultare utili (sebbene ridondanti). È comunque difficile immaginare che un utente sia disposto a pagare centinaia di euro per un lettore di codice a barre o  un decodificatore di codici QR (acronimo di “Quick Response”), o un’app per modificare le foto. Non di rado, queste app non sono nemmeno particolarmente buone, uniche o efficaci.

Poiché queste app non possono essere catalogate né come malware né come applicazioni potenzialmente indesiderate (PUA), Sophos ha coniato il termine fleeceware, perché la caratteristica primaria è quella di spennare (to fleece) gli utenti in cambio di funzionalità disponibili in applicazioni gratis o molto più economiche. I “fleeceware” sono estremamente pericolosi, forse ancor più dei più comuni malware. I ricercatori di Sophos hanno contattato i responsabili del Google Play Market per capire se queste app violassero le policy, interne o pubbliche, di Google. “Non abbiamo ricevuto risposta da parte dei rappresentanti di Google in merito agli abbonamenti mensili da centinaia di euro per applicazioni con funzionalità di base che violano le loro politiche di acquisto in-app”, spiegano gli esperti Sophos.

Un modello di business “fleeceware” legale o quasi. La settimana scorsa, dopo che Sophos ha portato alla loro attenzione questo comportamento di acquisto e ha inviato una lista di 15 applicazioni, un rappresentante di Google ha segnalato che l’azienda ha deciso di ritirarne alcune dallo store e in effetti 14 delle 15 applicazioni sono state rimosse. Un’analisi più approfondita ha rivelato un altro gruppo di applicazioni simili, con un numero di download ancora più elevato rispetto al primo, tuttora disponibili sul Play Market. “Google dovrebbe a nostro avviso dedicare particolare attenzione a questa problematica in quanto al momento le policy predefinite non proibiscono esplicitamente agli sviluppatori di app di trarre vantaggio da questa lacuna del regolamento”, aggiungono i ricercatori di sicurezza.

“Non sempre gli utenti hanno la possibilità di chiedere il rimborso dopo pochi giorni. Se un utente non sta monitorando costantemente la propria carta di credito, potrebbe non accorgersi della truffa in tempo utile per chiedere un rimborso”. Poiché le applicazioni stesse non sono impegnate in nessun tipo di attività tradizionalmente dannosa, esse riescono ad aggirare le regole che altrimenti renderebbero facile per Google giustificare la loro rimozione dal Play Market. Chi le sviluppa sembra inoltre essere molto bravo nel non farsi notare dai fornitori di sicurezza. Queste applicazioni sono, fondamentalmente, semplici. I ricercatori di Sophos hanno osservato strumenti come lettori di QR o lettori di codici a barre, calcolatrici, strumenti per creare GIF animate, o editor di foto per migliorare e/o ritoccare ogni immagine.


Nella maggior parte dei casi, ci sono valide alternative gratuite di noti fornitori già disponibili sul Play Market. Quando si esegue una qualsiasi di queste applicazioni, viene richiesto all’utente di registrarsi per un periodo di prova gratuita molto breve, di solito 3 giorni, attraverso un’interfaccia all’interno dell’applicazione stessa. La disinstallazione dell’app non basta. I produttori di app richiedono di registrarsi con le informazioni di pagamento prima di poter eseguire l’app, e molti utenti non riescono a capire che, per poter uscire dalla prova, devono dire esplicitamente allo sviluppatore che stanno cancellando il periodo di prova. Molti semplicemente dimenticano di farlo, o pensano che la disinstallazione dell’app costituisca una cancellazione. Ma gli sviluppatori dell’applicazione non la vedono in questo modo. 

In molte recensioni di applicazioni fleeceware, gli utenti riferiscono di non essere riusciti a cancellarsi dopo il periodo di prova, e di vedersi addebitato somme di denaro molto elevate. Nel caso di un’applicazione di lettura di codici QR, lo sviluppatore addebita agli utenti 104,99 euro dopo 72 ore. I creatori di un’applicazione chiamata Professional GIF Maker addebitano agli utenti €214,99 al termine della prova. Si tratta di prezzi assolutamente incongruenti. Le app fleeceware superano ancora il ‘radar’ di Google. Con milioni di installazioni, in alcuni casi, se anche una piccola percentuale di utenti dimentica di cancellare il proprio abbonamento, i creatori di app possono ottenere guadagni molto elevati. Questa è un’analisi di alcune delle applicazioni fleeceware identificate da Sophos su Google Play Market. 

Come è stato accennato in precedenza, 14 applicazioni di questo tipo sono state rimosse dal Play Market da Google dopo la segnalazione fatta dagli esperti Sophos. Quelle elencati di seguito sono ancora disponibili: • qr.code.barcode.maker.scanner.reader / 5,000,000+ Installazioni / Costo (dopo il periodo di prova) €104.99; • faceapp.facemystery.learnmoreaboutyourself / 10,000,000+ Installazioni / Costo (dopo il periodo di prova) € 104,99; • com.recorder.video.magic.capture.gameplay / 5,000,000+ Installazioni / Costo (dopo il periodo di prova) € 104,99; • com.ally.video.recorder / 5,000+ Installazioni / Costo (dopo il periodo di prova) € 114,99; • com.pey.old.me.face.aging / 50,000+ Installazioni / Costo (dopo il periodo di prova) € 104,99; 

• com.gifmaker.giffree.gifeditor / 5,000+ Installazioni / Costo (dopo il periodo di prova) €219,99; • com.hidephotovideo.calculatorphotovault / 1,000+ / Installazioni / Costo (dopo il periodo di prova) € 104,99; • com.compasspro.gpscoordinates / 10,000+ Installazioni / Costo (dopo il periodo di prova) € 219,99; • com.searchbyimage.reverseimagesearch / 10,000+ / Costo (dopo il periodo di prova) € 219,99; totale 20,081,000 (stimato). Dalle recensioni degli utenti sul negozio Play Market, si evince chiaramente come molti utenti che hanno installato queste applicazioni e a cui sono stati successivamente addebitati costi esorbitanti siano comprensibilmente furiosi. Gli utenti hanno indicato che sono stati addebitati importi diversi a seconda della loro area geografica. 

Alcuni chiedono a Google di eliminare queste applicazioni e altri vogliono ottenere un rimborso. Oltre al danno economico, vi è anche la beffa in quanto queste applicazioni non sono nemmeno particolarmente performanti, uniche o efficaci. Chi ha creato queste trappole si limita a offrire le proprie versioni di applicazioni che spesso vengono rese disponibili (in alcuni casi, gratuitamente) da sviluppatori molto più affidabili. Ad esempio, Sophos ha anche un lettore di codici QR nella sua app di sicurezza Sophos Mobile. Google monitora le app pubblicate nel suo negozio online per frodi e attività dannose. Ma queste applicazioni hanno eluso l’attenzione di Google rimanendo sull’orlo della legalità e sfruttando il fatto che la maggior parte delle persone non legge la piccola stampa. Via: Sound PR


Nessun commento:

Posta un commento