Pas op voor fleeceware

Dure apps verleiden gebruikers van Google Play en App Store met een gratis proefperiode, en brengen vervolgens een betaald abonnement in rekening, zelfs als de app al verwijderd is.

Herinnert u zich nog hoe de huurmoordenaar Vincent Vega in <em>Pulp Fiction</em> een milkshake wilde proeven puur en alleen omdat die maar liefst $ 5 kostte? Dat is een volkomen normale reactie — veel mensen associëren hoge prijzen automatisch met buitengewone kwaliteit. Dus als ze een duur product gratis kunnen uitproberen, zijn zelfs mensen die niet van plan zijn om tot koop over te gaan geïnteresseerd. Sommige smartphone-apps maken gebruik van deze menselijke eigenschap.

De kosten van nieuwsgierigheid

Eind september vonden infosec-onderzoekers een verzameling calculators, QR-codescanners, fotoverbeteraars en andere programma’s met basisfuncties op Google Play tegen duidelijk te hoge abonnementsprijzen van tot wel € 200 per maand. De apps waren door tientallen miljoenen mensen gedownload, als het er niet meer waren.

Er werd gebruikers een gratis proefperiode van drie dagen beloofd. Toen ze zich echter realiseerden dat een abonnement op zulke apps zinloos was, verwijderden veel gebruikers ze weer. Maar ze betaalden wel.

Hoe gebeurde dit? Ten eerste moesten de slachtoffers hun betalingsgegevens verstrekken voordat ze de apps voor de eerste keer gebruikten. Als ze dit niet deden, kon de app niet eens opstarten. Dit stelde de gulzige apps in staat om abonnementskosten in rekening te brengen zonder hier toestemming voor te vragen aan de gebruiker.

Ten tweede is het verwijderen van een app van uw apparaat niet hetzelfde als een abonnement opzeggen. Dit is redelijk logisch, aangezien dit voorkomt dat u bijvoorbeeld uw playlists in een muziek-app kwijtraakt als u hem per ongeluk verwijdert, uw telefoon terugzet naar de fabrieksinstellingen of de app op een nieuwe telefoon gebruikt. Maar veel mensen zijn zich niet bewust van deze nuance. En er zijn mensen die soms vergeten hun abonnementen op te zeggen, wat precies is waar de schrijvers van deze fleeceware op azen.

Technisch gezien geen malware

U kunt zich afvragen waarom zulke apps überhaupt ooit zijn toegelaten op Google Play. Helaas schenden deze “goudgerande” calculators en QR-scanners de regels van de App Store niet. Ze doen wat ze vermelden te doen, vragen niet om onnodige machtigingen en bevatten geen kwaadaardige code. Wat betreft de abonnementsprijzen, zijn er momenteel geen regels die ze verhinderen om op Google Play te staan.

Voor veel landen bestaat er een vastgestelde bovengrens — maar die is hetzelfde voor een geavanceerde video-editor, die dat geld echt waard kan zijn, als voor een QR-scanner of een app voor een schijnwerper. Op het moment van schrijven is deze bovengrens in de V.S. $ 400, en voor de meeste landen in de Europese Unie en het Verenigd Koninkrijk is dit iets minder — respectievelijk € 350 en £ 300 . Als de abonnementsprijs hier niet bovenuit komt, keurt de store de app goed, en gebruikers kunnen vervolgens zelf besluiten of ze dit willen ophoesten voor bepaalde features. En het is hun eigen schuld als ze niet begrijpen hoe abonnementen werken.

Toen Google zich echter bewust werd van dit probleem,  werden er 14 van de 15 van de te dure apps verwijderd van Google Play — en kort daarna vonden onderzoekers er nog eens negen. In werkelijkheid wemelt het in de belangrijkste app stores waarschijnlijk van nog veel meer van zulke programma’s.

Fleeceware: een nieuwe naam voor een oude truc

Dit soort apps kan niet worden beschreven als malware, dus er werd een nieuwe term voor verzonnen: fleeceware. Maar ondanks de nieuwigheid van de naam, bestaat de list zelf — een gratis proefperiode aanbieden met een betaald abonnement verborgen in de kleine lettertjes — al geruime tijd, en het zijn niet alleen mobiele ontwikkelaars die hier gebruik van maken.

In 2011–2012 was er een groep ritselaars in Groot-Brittannië die zogenaamd gratis monsters van huidverzorgingsproducten aan vrouwen uitdeelden, maar die online besteld moesten worden. Bij het plaatsen van een bestelling meldden gebruikers zich automatisch aan voor een maandelijkse betaling van £ 60 – £ 70 (zo’n € 70 – € 80). Dit kleine detail stond beschreven in de kleine lettertjes, en weinig mensen namen de moeite om die te lezen.

Fleeceware voor iOS

Natuurlijk is dit probleem niet exclusief voor Android; ontwikkelaars van fleeceware-apps hebben iOS niet over het hoofd gezien. In 2017 bijvoorbeeld, werd de app Mobile Protection: Clean & Security VPN van de App Store verwijderd. De app was door 50.000 gebruikers gedownload, en minstens 200 daarvan besloten om de VPN-app op basis van een abonnement uit te proberen, gelokt door het vooruitzicht van “drie gratis dagen”. Hun nieuwsgierigheid kostte ze elk ruim € 360 per maand.

Het was niet nodig om je te abonneren op de andere app-functies, wat hoe dan ook weinig zin had gehad. De app schoonde bijvoorbeeld de telefoon op, maar niet de tijdelijke bestanden en ongebruikte apps, maar alleen dubbele contacten.

Een ander voorbeeld van iOS-fleeceware was een QR-scanner. Bij het opstarten van de app vroeg deze om betalingsgegevens om je aan te melden voor een gratis proefperiode, en na drie dagen begon de app $ 3.99 per week in rekening te brengen.

Na meerdere van zulke incidenten begon Apple apps de kop in te drukken die niet op juiste wijze hun abonnementsvoorwaarden beschreven. En in iOS 13 verschijnt er een waarschuwing als er een poging wordt gedaan om een app met een nog actief abonnement te verwijderen.

Hoe beschermt u zich tegen fleeceware

Fleeceware maakt gebruik van de natuurlijke nieuwsgierigheid en zorgeloosheid van mensen, evenals hun liefde voor alles wat gratis is in combinatie met een onwil om abonnementsvoorwaarden helemaal door te lezen. Om niet voor deze truc te vallen, dient u argwanend te zijn bij alles dat er ongewoon uitziet.

  • Download geen apps die primitieve features tegen belachelijke prijzen aanbieden of via een abonnement. Er is waarschijnlijk niets exclusiefs aan de app, behalve dan de prijs.
  • Lees vóór het installeren van een app de reviews van mensen en de ontwikkelaar. Informatie over gerelateerde scams is waarschijnlijk al online te vinden.
  • Als u zich aanmeldt voor een gratis proefperiode maar niet van plan bent om in de toekomst voor de app te betalen, zorg er dan voor dat u het abonnement opzegt. U kunt dit doen door naar de sectie abonnementsbeheer van uw Google Play-account te gaan als u Android gebruikt, of in iTunes als u een iPhone of iPad heeft.
Tips

VLAN als een aanvullende beveiligingslaag

Sommige werknemers hebben veel te maken met externe e-mails, waardoor ze het risico lopen om slachtoffer te worden van kwaadaardige spam. Wij leggen uit hoe bedrijfssystemen beschermd kunnen worden tegen potentiële infecties.