Een bekende beveiligingsonderzoeker heeft hard uitgehaald naar Oracle omdat het bedrijf via beveiligingsupdates voor Java standaard de Ask.com toolbar verspreidt. Het vinkje waarmee gebruikers toestemming voor de installatie van de toolbar geven staat standaard ingeschakeld. Daardoor is de kans groot dat gebruikers de toolbar per ongeluk installeren, aangezien ze vaak uit routine op 'Volgende' klikken.
Dat stelt Ben Edelman, een bekende privacy- en adware-onderzoeker. Edelman ontdekte dat een gebruiker niet met de muis op 'Volgende' hoeft te klikken. Ook enter of spatie zijn voldoende om de toolbar te installeren. "Dat is een veel te lage lat", schrijft Edelman. Het zou ook in strijd met de voorwaarden van Google en de Amerikaanse FTC zijn.
Edelman onderzocht de praktijk van Ask.com samen met Windows-watcher Ed Bott. Bott kwam erachter dat Oracle en IAC opzettelijk de installatie van de Ask Toolbar met tien minuten vertragen. Hierdoor zouden gebruikers niet meteen doorhebben dat ze een fout hebben gemaakt om vervolgens de toolbar te verwijderen.
Toestemming
IAC, voorheen bekend als Ask Jeeves, maakt daarnaast wijzigingen die verder gaan dan waar de gebruiker toestemming voor heeft gegeven en maakt deze wijzigingen niet ongedaan bij het verwijderen van de toolbar. Zo vraagt de Oracle/IAC installatie om toestemming een add-on voor IE, Chrome en Firefox te installeren, maar nergens wordt het wijzigen van de zoekbalk in de adresbalk genoemd of het veranderen van de standaard zoekmachine in Chrome. Toch worden deze veranderingen wel doorgevoerd.
Als laatste punt is dat de Java-update alleen nodig is vanwege ernstige beveiligingslekken in Java. "Het is verontrustend om te zien dat Oracle aan dit beveiligingslek geld verdient, door een beveiligingsupdate als een kans te gebruiken om extra advertentiesoftware bij gebruikers door te drukken", aldus Edelman. Die vindt dat vanwege de vele beveiligingsproblemen in Java het nog erger is dat Oracle aan gebundelde installaties doet.
Ook Bott stelt dat Oracle het alleen voor het geld doet. "De reden is vanzelfsprekend geld. Oracle krijgt een commissie voor elke keer dat de toolbar wordt geïnstalleerd. En de Ask installer doet de nodige moeite om de werkwijze te verbergen."
Updaten
"Een beveiligingsupdate zou nooit als een mogelijkheid moeten dienen om aanvullende software te verspreiden. Oracle weet, aan de hand van recente beveiligingsproblemen, maar al te goed dat gebruikers snel software moeten updaten om ernstige lekken te verhelpen", laat Edelman weten.
"Door advertentiesoftware met beveiligingsupdates te bundelen, leert Oracle gebruikers om beveiligingsupdates te wantrouwen, waardoor gebruikers zowel updates van Oracle als anderen niet installeren."
Daarnaast zorgt Oracle door alle trucs ervoor dat de kans verkleind wordt dat eindgebruikers hun computer succesvol updaten. Oracle zou het updaten dan ook zo eenvoudig en snel als mogelijk maken, zonder onnodige stappen te introduceren, stelt Edelman.
Deze posting is gelocked. Reageren is niet meer mogelijk.