Un regard attentif sur la façon dont Oracle installe des logiciels trompeurs avec des mises à jour java zdnet

En coordination avec Ben Edelman, un expert en matière de publicité trompeuse, les logiciels espions et publicitaires, je l’ai regardé comment Oracle Java offre à ses clients et qui il a choisi de travailler en partenariat avec. Les preuves contre Oracle est écrasante.

• Lorsque vous utilisez Java automatique Updater pour installer des mises à jour de sécurité cruciales pour Windows, le logiciel tiers est toujours inclus. Les deux paquets supplémentaires fournis aux utilisateurs sont la barre d’outils Ask et McAfee Security Scanner.

• A chaque mise à jour Java, vous devez spécifiquement retirer des installations de logiciels supplémentaires. Si vous êtes assez occupé ou distrait ou naïf de confiance de Java « recommandation », vous vous retrouvez avec des logiciels indésirables sur votre PC.

• IAC, qui collabore avec Oracle pour offrir la barre d’outils Ask, utilise des techniques trompeuses pour installer son logiciel.


Ces techniques comprennent l’ingénierie sociale qui semble viser à la fois les novices et les utilisateurs expérimentés, le comportement qui pourrait bien être illégal dans certaines juridictions.

• La page de recherche Ask.com fournit des résultats de recherche de qualité inférieure et utilise des techniques trompeuses et peut-être illégales pour tromper les visiteurs en cliquant sur les annonces payées au lieu des résultats de recherche organiques.

Remarquez comment la case à cocher pour cette barre d’outils Ask est déjà sélectionné récupération de fichiers 4 x СЃРєР ° С ‡ Р ° С,СЊ. Si vous cliquez sur Suivant ou appuyez sur Entrée, cette barre d’outils est installée dans Internet Explorer, Chrome et Firefox.

Hé bien oui. Jusqu’à il y a une importante mise à jour de sécurité, ce qui se produit avec une régularité déprimante pour le plug-in du navigateur Java. (Il y a eu 11 mises à jour de Java SE 7, dont six qui a fixé des questions de sécurité critiques, au cours des 18 mois depuis sa sortie initiale.) La mise à jour de Java oblige l’utilisateur à passer par le même processus d’installation, avec la même option pré-sélectionnée pour installer des logiciels indésirables.

La raison, bien sûr, est de l’argent: Oracle recueille une commission chaque fois que la barre d’outils est installé Excel logiciel de récupération de fichiers la version complète de téléchargement gratuit. Et Ask installateur va de sa façon de cacher son fonctionnement.

Comme je l’ai affirmé dans mon test, lorsque vous mettez à jour Java et cliquez simplement ou appuyez sur Entrée pour accepter les paramètres par défaut, l’updater Java complète sa première installation et affiche ce résultat:

En arrière-plan, la barre d’outils d’installation Demander continue de fonctionner, mais il retarde l’exécution pendant 10 minutes. Si vous êtes un utilisateur sophistiqué Windows et vous avez manqué la case initiale, votre instinct naturel à ce stade serait d’ouvrir le Panneau de configuration et vérifier les programmes et fonctionnalités. Lorsque vous le faites, vous verrez que seule la mise à jour de Java a été installé téléchargement gratuit Recuva. Vous pouvez également vérifier vos paramètres de votre navigateur pour confirmer qu’aucune modification n’a été apportée à vos paramètres. Vous pourriez conclure que vous esquivé une balle et que le logiciel indésirable n’a pas été installé.

La seule indication que ce programme d’installation est en cours d’exécution est un bref éclair du pointeur de la souris. Une vérification des journaux d’événements de Windows indique que le programme d’installation a terminé son activité exactement 10 minutes après le programme d’installation de Java terminée, et les deux modules Demandez apparaissent dans la liste des programmes installés.

Je ne l’ai jamais vu un programme légitime avec un installateur qui se comporte de cette façon. Mais expert Ben Edelman spyware fait remarquer que dans le début de la dernière décennie, cette astuce était comme d’habitude pour les entreprises dans le domaine de l’installation des logiciels trompeurs. Cette liste comprend des acteurs célèbres comme mauvais WhenU, Gator et Claria.

En est associé un nouveau poste, Edelman analyse en profondeur la barre d’outils Ask et décompose le comportement trompeur que la barre d’outils lui-même avec:

• La barre d’outils Ask « prend le relais de recherche par défaut, la recherche de la barre d’adresse, et la gestion des erreurs. » Comme Edelman note: «C’est un ensemble intrusif de changements, et particulièrement indésirable en raison de la mauvaise qualité des résultats de recherche IAC. »

• Si vous utilisez la boîte de la recherche de la barre d’outils, vous êtes envoyé à « une page de résultats IAC MyWebSearch des annonces et des résultats de recherche syndiquées Google [avec] des listes qui sont volontairement moins utiles – ont porté principalement sur l’intérêt commercial d’IAC pour encourager l’utilisateur cliquez annonces supplémentaires « .

• Contrairement à une page de recherche Google, les annonces à IAC MyWebSearch manquent « couleur de fond unique pour aider les utilisateurs de distinguer les annonces des résultats algorithmiques. En outre, des annonces de volumineux IAC remplir l’intégralité du premier écran des résultats de nombreuses recherches PC Inspector Récupération de fichier 4 x en plein espaГ ± ol. Un utilisateur familier avec Google pourrait attendre des annonces d’avoir une couleur de fond distinctif et sachent que les annonces arrêtent généralement après au plus un écran … l’utilisateur pourrait bien conclure que ce sont des annonces algorithmiques plutôt que les annonces payées « .

• Les annonces sur les pages MyWebSearch ignorent la pratique standard de l’industrie et les règles de Google et de faire toute cliquables ad, « y compris le nom de domaine, texte d’annonce et d’un grand espaces … pages de résultats de recherche de IAC élargir la zone cliquable de chaque annonce pour remplir toute la largeur de la page , ce qui augmente fortement la fraction de la page où un clic sera interprété comme une demande de visiter la page de l’annonceur « .

Ce sont des choses louches. Si vous avez installé ce logiciel, il affecte les recherches que vous exécutez à partir de la barre d’adresse dans un navigateur, y compris Chrome. Installation de la mise à jour Java sur mon PC principal piraté le fournisseur de recherche par défaut dans Chrome 24 (la version actuelle) et les recherches redirigés de l’omnibox Google (la barre d’adresse) à Ask.com. À aucun moment, me demande-t la permission de faire ces changements aux paramètres de Chrome. (Une personne raisonnable ne conclurait pas que cliquant "Prochain" dans une boîte de dialogue pour installer une mise à jour a le même effet juridique "je suis d’accord" à un ensemble de conditions de licence.)

Les résultats de la recherche Demandez pour le titre de mon nouveau livre inclus sept annonces en haut de la page, avec la couleur d’arrière-plan et les styles visuels qui étaient impossibles à distinguer des résultats de recherche web pc récupération de fichier inspecteur 4 x kostenlos. Trois de ces annonces étaient pour ou trompeurs "services fix-it PC" ou d’un logiciel. Une annonce, ironiquement, a offert un téléchargement non autorisé des gratuits Microsoft Security Essentials qui comprenait son propre ensemble de logiciels publicitaires.

Le résultat réel je cherchais était dans la septième position sous ask résultats de la recherche web. La même recherche à Google.com inclus une seule annonce clairement étiquetés, et le meilleur résultat de la recherche était en troisième position dans les résultats feuille Excel récupération de mot de passe en ligne. L’écran ci-dessous montre la barre d’outils Ask laid et Ask icône en haut de la fenêtre Chrome. Les deux ont été installés sans le consentement éclairé et sans avertissement, sauf la boîte de dialogue trompeuse d’origine dans Java Updater.

Les bonnes nouvelles sont que les fabricants de navigateurs font qu’il est plus difficile collectivement pour les barres d’outils comme celui-ci à installer et activer par inadvertance.

• En commençant par Internet Explorer 9, de nouvelles barres d’outils et autres add-ons sont désactivées par défaut. Vous devez spécifiquement leur permettre avant qu’ils ne soient actifs.

• A partir de la version 25 (actuellement en version bêta), Chrome add-ons de bloquer qui sont installés par des tiers et demander à l’utilisateur pour leur permettre spécifiquement.

Le programme d’installation Demandez la barre d’outils prend ces mesures défensives en compte et utilise l’ingénierie sociale pour tenter de convaincre l’utilisateur d’activer les add-ons. Elle le fait en ajoutant ses propres messages ainsi que les messages du système. Voici ce que vous voyez dans Internet Explorer, par exemple, la première fois que vous ouvrez le navigateur après la barre d’outils est installé:

Et voici l’aide visuelle supplémentaire ajoutée dans Firefox, qui apparaît également dans une fenêtre de premier plan lors de la première course après l’installation de la barre d’outils:

Ces ajouts à l’interface utilisateur sont ajoutés comme un peu d’ingénierie sociale conçu pour convaincre l’utilisateur de remplacer les paramètres de sécurité légitimes.

(Une note de côté: Dans Windows 8, Internet Explorer 10 refuse d’installer la barre d’outils Ask à tout, même si elle n’installe avec Chrome 24. Un message d’erreur dans les journaux d’événements suggère le programme d’installation ne fonctionne pas correctement avec IE 10.)

Fait intéressant, alors que Oracle continue d’ordure en Java avec ces mécanismes agressifs d’installation, Adobe a déplacé le sens opposé au cours de la dernière année.

Installation d’Adobe Flash ou le lecteur pour la première fois sur un PC Windows inclut toujours la possibilité d’installer des logiciels tiers (généralement Google Chrome et la barre d’outils Google pour Internet Explorer) de Recuva logiciel de récupération de données. Mais les mises à jour sont gérées automatiquement en arrière-plan. Si vous activez la mise à jour Adobe, mises à jour fonctionnent, sans essayer d’installer quoi que ce soit d’autre que les mises à jour.

Mieux encore, Google et Microsoft ont intégré Flash dans les versions actuelles de leurs navigateurs (Internet Explorer 10 et toutes les versions récentes de Chrome), de sorte que l’installation d’un plug-in est pas nécessaire. Les mises à jour sont gérées par Windows Update et la mise à jour Chrome, respectivement.

Le programme d’installation de Skype, qui, une fois proposé d’installer des barres d’outils et des add-ons, ne le fait plus (bien qu’il ne tente de changer le moteur de recherche par défaut de l’utilisateur et la page d’accueil, un comportement qui ne doit pas être tolérée).

Le Java Updater, en revanche, est un gâchis. Il ne fonctionne pas correctement avec les comptes d’utilisateurs limités, et comme je l’ai démontré ici, il nécessite une interaction utilisateur et tente de pousser unethically add-ons qu’aucun utilisateur sain d’esprit accepterait de Windows s’ils savaient comment fonctionne le logiciel.

Et pour ajouter une blessure à l’insulte, l’updater prend tout son temps pour vous informer lorsque des mises à jour de sécurité importantes sont des fenêtres de téléchargement disponibles 7 fichier iso disque de récupération libre. Comme le texte dans la boîte de dialogue Updater indique clairement, vous pourriez avoir à attendre entre 7 et 30 jours après une mise à jour est disponible avant que vous soyez informé de celui-ci. Et puis, vous êtes obligé de lancer la mise à jour vous-même, en évitant le logiciel indésirable le long du logiciel de récupération de fichier de façon Télécharger la version complète. Il est pas étonnant que beaucoup de gens sont en cours d’exécution Java plugins obsolètes et très vulnérables.

Je continue de recommander que les utilisateurs de Windows d’éviter l’installation de Java du tout, si possible. Si vous devez l’exécuter, envisagez d’utiliser Ninite pour le tenir à jour en temps voulu sans être ennuyé par des logiciels potentiellement indésirables. Mais pour ceux qui ne sont pas au courant des options comme ça, le processus de mise à jour devrait être rapide, précise et transparente. Oracle a la responsabilité de nettoyer son acte et mettre fin à sa relation avec IAC Recuva logiciel de téléchargement gratuit. Rubriques connexes:

En vous inscrivant, vous devenez un membre de la famille de CBS Interactive des sites et que vous avez lu et accepté les Conditions d’utilisation, Politique de confidentialité et politique des services vidéo. Vous acceptez de recevoir des mises à jour, des alertes et des promotions de CBS et CBS peut partager des informations vous concernant avec nos partenaires commerciaux afin qu’ils puissent vous contacter par courriel ou autrement sur leurs produits ou services.

Vous recevrez également un abonnement gratuit à Tech mise à jour aujourd’hui et ZDNet les bulletins d’annonce du ZDNet. Vous pouvez vous désabonner de ces lettres d’information à tout moment.