オラクル社が不正なソフトウェアをJavaアップデートでインストールする方法を詳しく見てください

Oracle、おめでとうございます。

Javaはfoistwareの新しい王であり、AdobeとSkypeをヒープのトップから置き換えたものです。

また、業界で最もユーザーに敵対的でシニカルなソフトウェア更新方法を組み合わせて、その場所を獲得しました。

私は、詐欺的な広告、スパイウェア、アドウェアの専門家であるBen Edelmanと協力して、Oracleをどのように顧客に提供し、どのパートナーとパートナーを選んだのかを見てきました。オラクルに対する証拠は圧倒的です。

特に

先週の週末、Javaアップデータの仕組みを正確に把握するため、さまざまな物理および仮想テストPCにJavaをインストールして更新しました。

ここに私が見つけたものがあります。

初めてWindows PCにJavaをインストールすると、インストーラにはこのステップが含まれています。

Javaの自動アップデータを使用してWindows用の重要なセキュリティ更新プログラムをインストールすると、サードパーティのソフトウェアが常に含まれます。ユーザーに配布される2つの追加パッケージはAsk ToolbarとMcAfee Security Scannerです。すべてのJavaアップデートでは、追加のソフトウェアインストールをオプトアウトする必要があります。 Askツールバーを提供するためにOracleと提携しているIACは、ソフトウェアをインストールするために欺瞞的な手法を使用していますが、Javaの「推奨」を信頼するには忙しいです。これらの手法には、初心者と経験豊かなコンピュータユーザーの両方を対象としたソーシャルエンジニアリングが含まれていますが、一部の地域で不正行為が行われる可能性があります。Ask.comの検索ページでは、検索結果が劣り、誤解を招く可能性があり、オーガニック検索結果の代わりに有料広告をクリックします。

そのAskツールバーのチェックボックスが既に選択されていることに注目してください。 [次へ]をクリックするかEnterキーを押すと、そのツールバーがInternet Explorer、Chrome、およびFirefoxにインストールされます。

しかし、確かにそのチェックボックスをクリアして、続行して次に進むことができます。右?

はい、そうです。重要なセキュリティアップデートがあるまで、Javaブラウザプラグインの規則性が低下しています。 (Java SE 7には11のアップデートがあり、そのうちの6つは重要なセキュリティ上の問題を修正したもので、最初のリリースから18ヶ月間にリリースされています。)Javaのアップデータは、ユーザに同じインストールプロセスを強制します。不要なソフトウェアをインストールします。

その理由は、もちろん、お金です.Oracleは、ツールバーがインストールされるたびにコミッションを回収します。そして、Askインストーラは、その動作を隠すための道を離れます。

Askツールバーは「デフォルトの検索、アドレスバーの検索、エラー処理を引き継ぎます」Edelman氏は「これは変更点が多いため、特にIACの検索結果の品質が低いことから望ましくない」と述べています。ツールバーの検索ボックスを使用すると、「IACのMywebsearch結果ページ」に送られます。広告と検索結果は、意図的にはあまり有用ではない – 主にIACのビジネス上の関心事で、ユーザーに余分な広告をクリックさせるよう促します。 ; Googleの検索ページとは異なり、IAC Mywebsearchの広告には、ユーザーが広告をアルゴリズムの結果と区別するのに役立つ「独特の背景色」がありません。さらに、IACの大量の広告は、多くの検索の結果の最初の画面全体に表示されます。 Googleをよく知っているユーザーは、広告の背景色がはっきりしていると予想し、通常は広告が1つの画面の後で停止することを知ります…ユーザーは有料の広告ではなくアルゴリズムのリストであると結論づけることができます」; Mywebsearchページドメイン名、広告テキスト、および大きな空白を含む標準的な業界慣行とGoogleルールを無視し、広告全体をクリック可能にする… IACの検索結果ページは、各広告のクリック可能な領域をページ幅全体に広げ、クリックは広告主のページにアクセスするリクエストとして解釈されます。

Internet Explorer 9以降、新しいツールバーやその他のアドオンは既定で無効になっています。 Mozilla Firefoxにも同様のアドオン承認機能があります;バージョン25(現在はベータ版)から、Chromeはサードパーティによってインストールされたアドオンをブロックします。特定のユーザーを有効にする必要があります。

私のテストで確認したように、Javaを更新して単にEnterを押してデフォルト設定を受け入れると、Javaアップデータはまずそのインストールを完了し、この結果を表示します

そのダイアログボックスは真実を伝えていません。

バックグラウンドでは、ツールバーのAskツールのインストーラは引き続き実行されますが、実行は10分間遅延します。洗練されたWindowsユーザーで、最初のチェックボックスを忘れてしまった場合、この時点での本能はコントロールパネルを開いてプログラムと機能をチェックすることです。実行すると、Javaアップデートのみがインストールされていることがわかります。ブラウザの設定を確認して、設定が変更されていないことを確認することもできます。あなたは弾丸をやめ、不要なソフトウェアがインストールされていないと結論づけるかもしれません。

しかし、あなたは間違っているでしょう。 Askインストーラはまだ実行されていて、10分待ってからターゲットシステム上に2つのプログラムをドロップします。

このインストーラが実行されている唯一の兆候は、マウスポインタの簡単な点滅です。 Windowsのイベントログを確認すると、Javaインストーラが完了してから10分後にインストーラがアクティビティを完了し、2つのAskモジュールがインストールされているプログラムの一覧に表示されます。

このような動作をするインストーラを使った正当なプログラムは見たことがありません。しかし、スパイウェアの専門家Ben Edelmanは、この10年間の早い段階で、不正なソフトウェアをインストールするビジネスの企業にとって、このトリックはいつものようにビジネスであったと指摘しています。そのリストには、WhenU、Gator、Clariaのような悪名高い悪役が含まれています。

新しい記事では、EdelmanはAskツールバーを徹底的に分析し、ツールバー自体が関連している欺瞞的な振る舞いを解説しています

これは面倒なものです。このソフトウェアをインストールしている場合は、Chromeを含むすべてのブラウザのアドレスバーからの検索に影響します。メインのPCにJavaアップデートをインストールすると、Chrome 24(現在のバージョン)のデフォルトの検索プロバイダがハイジャックされ、Googleオムニボックス(アドレスバー)からAsk.comにリダイレクトされました。私はChromeの設定を変更する許可を求めたことは一度もありませんでした。 (合理的な人は、アップデートをインストールするためのダイアログボックスで「次へ」をクリックすると、一連のライセンス条項に「同意する」と同じ法的効力を有すると結論づけられません)。

私の新しい本のタイトルのAskの検索結果には、ページ上部の7つの広告が含まれていました。背景色とビジュアルスタイルはWeb検索結果と区別できませんでした。これらの広告のうち3つは、誤解を招くまたは誤解を招く「PC fix-it services」またはソフトウェアの広告でした。 1つの広告は、皮肉なことに、自社のアドウェアバンドルを含む無料のMicrosoft Security Essentialsの不正なダウンロードを提案しました。

私が探していた実際の結果は、Askウェブ検索結果の下の7番目の位置にありました。 Google.comでの同じ検索には、明確にラベル付けされた広告が1つしか含まれておらず、最良の検索結果は結果の3番目の位置にありました。下の画面は、醜いAskツールバーとChromeウィンドウの上部にあるAskアイコンを示しています。どちらもインフォームドコンセントなしでインストールされ、Javaアップデータのオリジナルの誤ったダイアログボックス以外は警告なしでインストールされました。

Askツールバーをアンインストールしても、Chrome 24の以前の検索設定は復元されません。手動で変更する必要があります。

コラボレーション:今日のデジタルワークプレイスの構成原理は何ですか?エンタープライズソフトウェア、Sweet SUSE! HPEはLinuxディストリビューション、Enterpriseソフトウェア、Appleは9月13日にiOS 10、9月20日にmacOS Sierra、Enterpriseソフトウェア、マイクロフォーカスに88億ドルで「非コア」ソフトウェア資産をオフロードする

良いことに、ブラウザメーカーは、このようなツールバーを誤ってインストールして使用することをより困難にしています。

Askツールバーのインストーラは、これらの防御手段を考慮に入れ、ソーシャルエンジニアリングを使用して、アドオンを有効にするようユーザーに納得させようとします。これは、独自のメッセージとシステムメッセージを追加することで行います。 Internet Explorerでは、ツールバーのインストール後に最初にブラウザを開いたときに表示されます

Firefoxに追加された追加の視覚援助は、ツールバーのインストール後に最初に実行された際に目立つウィンドウに表示されます

これらのUIへの追加は、正当なセキュリティ設定を無効にするようにユーザーを説得するためのソーシャルエンジニアリングの一部として追加されています。

(サイドノート:Windows 8では、Internet Explorer 10はChrome 24でインストールされますが、Askツールバーをインストールすることをまったく拒否します。イベントログにエラーメッセージが表示されると、インストーラはInternet Explorer 10で正しく動作しません)

興味深いことに、オラクルはこれらの積極的なインストーラの仕組みでJavaを使いこなし続けていますが、Adobeは過去1年ほどに逆の方向に動いています。

Windows PCにAdobe FlashまたはReaderを初めてインストールするには、サードパーティのソフトウェア(通常はGoogle ChromeとInternet Explorer用のGoogleツールバー)をインストールするオプションがあります。しかし、更新はバックグラウンドで自動的に処理されます。アドビアップデータを有効にすると、アップデートだけが動作し、アップデート以外のものはインストールされません。

さらに、GoogleとMicrosoftの両方が、現在のバージョンのブラウザ(Internet Explorer 10と最近のChromeのすべてのリリース)にFlashを組み込んでいるため、プラグインのインストールは不要です。アップデートはWindows UpdateとChrome Updaterでそれぞれ処理されます。

かつてはツールバーやアドオンのインストールを提案していたSkypeのインストーラは、ユーザーのデフォルトの検索エンジンやホームページを変更しようとしても、これを実行しなくなりました。

対照的に、Javaのアップデータは混乱です。限られたユーザーアカウントではうまく動作せず、ここで説明したように、ユーザーの操作が必要となり、そのソフトウェアの仕組みを知っていれば正気のWindowsユーザーは受け入れないアドオンをプッシュしようとする倫理に反した試みが必要です。

そして、侮辱に傷を付けるために、重要なセキュリティアップデートが利用可能になったときにあなたに通知する独自の甘い時間がかかる。アップデータダイアログボックスのテキストが明確になるので、更新が利用可能になってから通知されるまでに7日から30日を待たなければならない場合があります。そして、途中で不要なソフトウェアを避けて、自分でアップデートを開始する必要があります。非常に多くの人々が時代遅れで、非常に脆弱なJavaプラグインを実行しているのは不思議ではありません。

可能であれば、WindowsユーザーはJavaをまったくインストールしないことをお勧めします。それを実行する必要がある場合は、Niniteを使用して、潜在的に望ましくないソフトウェアに悩まされることなく適時に更新を維持することを検討してください。しかし、そのようなオプションを認識していない人にとっては、更新プロセスは迅速かつ正確で透過的でなければなりません。オラクルは、その行為を浄化し、IACとの関係を終了させる責任があります。

今日のデジタルワークプレイスの構成原理は何ですか?

甘いSUSE! HPEがLinuxディストリビューションに突入

Appleは9月13日にiOS 10を、MacOS Sierraは9月20日にAppleをリリースする

HPEは、非コアのソフトウェア資産をMicro Focusに88億ドルで売却する