'Oracle kampioen meesmokkelen ongewenste software'

"Het bewijs tegen Oracle is overweldigend”, vindt Bott, die voor deze aanpak de moeilijk vertaalbare term ‘foistware’- letterlijk: ondergeschoven software – heeft bedacht. Tot dusver viel de dubieuze eretitel op dit gebied ten deel aan Adobe en Skype, maar die bedrijven hebben hun leven enigszins gebeterd.

Java Updater misleidt beginners en gevorderden

Wie de automatische updateroutine van Oracle gebruikt om essentiële beveiligingsupdates voor Java te installeren, krijgt steevast ook software van andere partijen voor zijn kiezen. Eén daarvan is de Ask Toolbar, een invoegtoepassing voor webbrowsers. Leverancier IAC gebruikt volgens Bott “misleidende technieken” zoals social engineering om de Ask-taakbalk te installeren. Die technieken zijn erop gericht om zowel beginners als ervaren pc-gebruikers om de tuin te leiden.

Alsof dat nog niet erg genoeg is, levert de Ask-zoekmachine inferieure zoekresultaten op. Bovendien maakt Ask.com gebruik van “misleidende en mogelijk illegale technieken” om bezoekers ertoe te verleiden op betaalde advertenties te klikken in plaats van op neutrale zoekresultaten, vinden de testers van ZDnet en Harvard. Een van de trucjes daarbij is dat ook de witruimte rond advertenties aanklikbaar is, wat bij Google en Yahoo niet mogelijk is.

Ongewenste zoekbalk staat steevast aangevinkt

In het Java Setup-venster van Oracle staat het installeren van de Ask Toolbar in combinatie met Java standaard aangevinkt. Bij iedere nieuwe update moet de gebruiker dit vinkje handmatig verwijderen. Gehaaste gebruikers zien dit gemakkelijk over het hoofd, meent Bott, zeker als het om een urgente security update gaat. En daar zijn er veel van: Oracle heeft sinds de introductie anderhalf jaar geleden al 11 updates van Java SE 7 verspreid, waarvan er 6 kritieke beveiligingslekken moesten dichten.

Misleidend is ook dat het installatieprogramma van de Ask-taakbalk nog 10 minuten op de achtergrond doorloopt nadat de Java-update al is geïnstalleerd. Al die tijd is de ongewenste software niet in het onderdeel Software van het Configuratiescherm zichtbaar. Daaruit kan de gebruiker de verkeerde conclusie trekken dat hij de dans is ontsprongen, stelt Bott.

Ask Toolbar in meer dan 50 varianten in omloop

Volgens hoogleraar Edelman was deze methode van uitgesteld installeren zo’n tien jaar geleden een gangbare truc van bedrijven die zich bezighielden met de levering van misleidende software. Edelman gaat in een eigen analyse dieper in op de handelwijze van Ask en op de werking van diens zoekvenster. Hij wijst erop dat IAC/Ask.com een dubieuze reputatie heeft en alles in het werk stelt om in totaal meer dan 50 doelgroep-afhankelijke toolbars op zoveel mogelijk pc's te dumpen. Ask maakt indirect gebruik van de zoekmachine Google en Edelman vindt dan ook dat Google zijn gebruiksregels strikter zou moeten opleggen.

Java Updater waarschuwt niet tijdig voor nieuwe updates

Beide onderzoekers roepen Oracle ertoe op ogenblikkelijk te stoppen met het meesmokkelen van ongewenste software bij zijn Java-updates. Een bijkomend bezwaar is nog dat de Java Updater treuzelt met het attenderen op beschikbare updates. Dat kan wel 7 tot 30 dagen duren nadat de updates beschikbaar zijn gekomen. “Geen wonder dat veel mensen met verouderde en zeer kwetsbare Java-plugins werken”, aldus Bott, die overigens adviseert om Java zo mogelijk volledig links te laten liggen.