Diffidate delle app fleeceware

Le applicazioni a prezzi eccessivamente elevati attirano gli utenti di Google Play e App Store con un periodo di prova gratuito, per poi addebitare loro un abbonamento a pagamento anche dopo aver disinstallato l’applicazione.

Ricordate come in Pulp Fiction il sicario Vincent Vega voleva provare un frullato semplicemente perché costava 5 dollari? Si tratta di un comportamento del tutto normale, molte persone associano automaticamente il prezzo elevato a una qualità straordinaria. Quindi, se hanno la possibilità di provare gratuitamente un prodotto costoso, anche coloro che non sono intenzionati ad acquistare se ne interessano. Alcuni sviluppatori di app per smartphone approfittano di questa inclinazione dell’essere umano.

Il prezzo della curiosità

A fine settembre, alcuni ricercatori di sicurezza informatica hanno individuado su Google Play una serie di calcolatrici, scanner di codici QR, potenziatori fotografici e altri programmi con funzionalità basiche a prezzi di abbonamento palesemente gonfiati, fino a 200 euro al mese. Le applicazioni sono state scaricate da decine di milioni di persone, se non di più.

Agli utenti è stato promesso un periodo di prova di tre giorni. Dopo essersi resi conto che abbonarsi a tali applicazioni sarebbe stato inutile, molti utenti le hanno disinstallate, ma veniva comunque addebitato il costo dell’abbonamento.

Come è potuto succedere? In primo luogo, le vittime hanno dovuto fornire alle app i loro dettagli di pagamento la prima volta che hanno utilizzato le app. Senza questo, le app non avrebbero funzionato. In questo modo le avide app hanno potuto addebitare l’abbonamento senza il consenso dell’utente.

In secondo luogo, disinstallare l’app dal dispositivo non significa annullare l’abbonamento. Ha senso perché impedisce di perdere, ad esempio, le playlist in un’applicazione di riproduzione musicale se la si cancella per errore, si ripristinano le impostazioni di fabbrica del dispositivo o si utilizza l’applicazione su un nuovo telefono. Tuttavia, molti non conoscono questa particolare sfumatura, mentre altri dimenticano di cancellare gli abbonamenti, ed è proprio di questo che si nutrono i creatori di app fleeceware.

 In teoria non si tratta di malware

Vi starete chiedendo prima di tutto perché Google Play permetta l’esistenza di queste app nello store. Purtroppo, tecnicamente queste calcolatrici e scanner QR non violano le regole dello store . Svolgono la loro funzione, non richiedono autorizzazioni inutili e non contengono codici dannosi. Per quanto riguarda i prezzi degli abbonamenti, nessuna regola attuale li escluderebbe da Google Play.

In molti paesi esiste un limite massimo stabilito di prezzo, ma è lo stesso per un editor video avanzato, che potrebbe davvero valere la pena, come lo è per uno scanner QR o un’applicazione per torce.

In questo momento, il limite in Italia è di 350 euro. Se il prezzo dell’abbonamento è al di sotto di questo valore, lo store approva l’applicazione, dopodiché sono gli utenti a decidere se pagare o no, e possono solo colpevolizzare loro stessi se non capiscono come funzionano gli abbonamenti.

Tuttavia, quando Google è venuto a conoscenza del problema, 14 delle 15 applicazioni con il sovrapprezzo sono state rimosse da Google Play e, quasi subito dopo, i ricercatori ne hanno trovate altre nove. In realtà, i principali app store sono probabilmente pieni di molte altre applicazioni di questo tipo.

Fleeceware: nuovo nome, vecchio trucco

Tali applicazioni non possono essere classificate come malware, per cui è stato inventato un nuovo termine: fleeceware. Tuttavia, nonostante la novità del nome, lo stratagemma è lo stesso. L’offerta di un periodo di prova gratuito con un abbonamento a pagamento indicato in una postilla non è niente di nuovo, e non sono solo gli sviluppatori di app ad approfittarsene.

Ad esempio, nel 2011-2012 un gruppo di disonesti ha distribuito alle donne in Gran Bretagna campioni di creme apparentemente gratuite che potevano essere ordinate online. Al momento dell’ordine, gli utenti sono stati automaticamente iscritti a un abbonamento mensile di 60£-70£ (circa 70€-80€). Questo piccolo dettaglio appariva in una clausola scritta in piccolo, che pochi si sono presi la briga di leggere.

Fleeceware per iOS

Naturalmente, questo non riguarda solo Android; gli sviluppatori di applicazioni fleeceware non hanno trascurato iOS. Nel 2017, ad esempio, un’applicazione chiamata Mobile Protection: Clean & Security VPN è stata rimossa dall’App Store. È stata scaricata da 50 mila utenti, e almeno 200 di loro hanno deciso di provare l’offerta di questo VPN, ingannati dai tre giorni di prova gratuita. La loro curiosità è costata a ciascuno di loro 400 dollari al mese.

Non c’era bisogno di abbonarsi alle altre funzionalità dell’app, il che in ogni caso aveva poco senso. Ad esempio, l’applicazione faceva pulizia nel telefono, ma non eliminava i file temporanei e applicazioni inutilizzate, semplicemente duplicava i contatti.

Un altro esempio di fleeceware iOS era uno scanner di codici QR. Al momento dell’avvio, l’applicazione richiedeva i dati di pagamento per iscriversi a un periodo di prova gratuito, e dopo tre giorni iniziava ad addebitare 3,99 dollari alla settimana.

Dopo diversi incidenti di questo tipo, Apple ha iniziato a bloccare le app che non descrivono adeguatamente i termini e le condizioni di abbonamento, e in iOS 13, viene visualizzato un avviso quando si tenta di disinstallare un’applicazione con un abbonamento attivo.

Come proteggersi dai fleeceware

Il fleeceware sfrutta la naturale curiosità e disattenzione delle persone, così come il loro amore per ricevere qualcosa gratuitamente,  abbinato alla riluttanza nel leggere i termini e le condizioni degli abbonamenti. Per non cadere nella trappola, diffidate da tutto quello che vi sembra insolito.

  • Non scaricate app che offrono caratteristiche basiche a prezzi esorbitanti o in abbonamento. Molto probabilmente, in loro non c’è nulla di esclusivo, a parte il prezzo;
  • Prima di installare un’applicazione, leggete le recensioni che riguardano la app e anche lo sviluppatore. È probabile che troviate informazioni sulla truffa;
  • Se vi iscrivete a un periodo di prova gratuito e non avete intenzione di pagare per l’applicazione in futuro, assicuratevi di annullarla. Potete farlo nella sezione di gestione degli abbonamenti del vostro account Google Play nel caso di Android o in iTunes se possedete un iPhone o iPad.
Consigli