Pasożyty z napiprojekt

Znacie to kolokwialne powiedzenie, że w życiu każdego krasnoludka pojawia się taki moment kiedy ma on ochotę komuś grzmotnąć? Spadło to na mnie przedwczoraj, kiedy uruchomiłem firefoxa i wszedłem na stronę dobrychprogramów.

Nagle zaczęły mi się wyświetlać dodatkowe okienka (bez zawartości bo ta została zablokowana przez noscripta oraz uBlocka) oraz uaktywnił się Avast, informując mnie, że osłony zablokowały niebezpieczną stronę lub plik:

Z rozpędu zdążyłem jeszcze kliknąć link do blogów. Równocześnie ze stroną blogów otwarły się dwie inne zakładki oraz w tle całkiem nowe okno przeglądarki:

Pierwsza myśl: shackowali dp… stop, prawdopodobieństwo czegoś takiego jest niezwykle niskie, to coś u mnie… Po dłuższym rachunku sumienia nabrałem podejrzeń wobec aplikacji napiprojekt, którą poprzedniego wieczora aktualizowałem.

Open Candy

Słyszeliście o OpenCandy? Bo ja nie miałem wcześniej żadnego pojęcia o istnieniu takiej platformy. W dużym skrócie: OpenCandy to projekt firmy SweetLabs z San Diego. Platforma OpenCandy, jak obiecują marketingowcy SweetLabs, umożliwia twórcom aplikacji zwiększenie sobie przychodów poprzez rekomendowanie świetnych aplikacji (vide: opencandy.com/monetize/). Polega to, w pewnym uproszczeniu na tym, że twórcy zostają partnerami OpenCandy i korzystają z platformowego pakietu instalatora do przygotowania wersji instalacyjnej swojej aplikacji. Kiedy niczego nieświadomy użytkownik końcowy uruchamia program instalacyjny, OpenCandy (bez żadnej o tym informacji) skanuje jego system (wyniki są wysyłane na zewnątrz) aby potem podczas instalacji partnerskiej aplikacji zaproponować instalację jakiegoś dodatkowego oprogramowania. To jakie będzie to oprogramowanie zależy od wyników wcześniejszego skanowania systemu użytkownika. Nie jest dla mnie jasne czy partner ma to jakiś wpływ. Jeśli użytkownik zaakceptuje i zainstaluje dodatkowe oprogramowanie to partner dostaje za to wynagrodzenie. Najwyraźniej fiutkom z napiprojekt, którzy pasożytują na społeczności tworzącej, poprawiającej i dopasowującej napisy zachciało się takiej właśnie monetyzacji w ramach Open Candy. Poszli śladem innych, np. BitTorent, Inc , którzy już od dawna w ten sposób monetyzują swoją apkę uTorrent…

Odpaliłem maszynę wirtualną i sprawdziłem jak to wygląda od strony użytkownika. Po uruchomieniu pliku instalacyjnego setupNapi.exe otrzymujemy systemowy komunikat: „Nie można zweryfikować wydawcy. Czy na pewno chcesz uruchomić to oprogramowanie?”. Potem mamy ekran z tekstem licencji. Tu mała ciekawostka, na samym końcu, pod polskojęzycznym tekstem licencji programu napiprojekt mamy jeszcze anglojęzyczną licencję OpenCandy:

Kluczem jest następny ekran, na którym pojawia się pytanie… Stop. Nie ma tu żadnego pytania. Jest rekomendacja i zalecenia bo NapiProjekt rekomneduje i zaleca (gdybym miał bolda to słowo zaleca byłoby wyboldowane) na zdobycie Opera Browser za darmo i cieszenie się możliwością szybszego, bezpieczniejszego i bardziej zabawnego przeglądania internetu! Sami zobaczcie:

Jak widać na dopiero co zainstalowanym Windows 7, gdzie nie było innej niż systemowa przeglądarki OpenCandy próbuje zainstalować Operę. Ok. Pozwoliłem na instalację Opery (nawiasem mówiąc to jest cicha instalacja, bez żadnego dodatkowego pytania ikonka Opery pojawiła się na pulpicie) i sprawdziłem co dostanę następnym razem:

Wiem co w tej chwili myślicie: januszku, przecież ani Opera, ani AVG Tune UP nie są groźnym oprogramowaniem… No jasne, że nie są. Gorzej z dodatkiem Great Find… W tym konkretnym przypadku, który stał się przyczyną do tego wpisu, do mnie trafił (konkretnie: to platforma OpenCandy po przeskanowaniu mojego systemu zdecydowała) - Wander Burst - rekomendowany i zalecany przez NapiProjekt aby dodać do swojej przeglądarki takie funkcje jak oferty zakupów, powiązane wyniki wyszukiwania i kupony. Wyświetlanie reklam, automatyczne uruchamianie nowych funkcji oraz zbieranie/udostępnianie danych:

Wander Burst wydaje się być następną cziterską platformą, która już sama, na siłę i bez żadnego pytania, instaluje lub próbuje uruchomić następne shity. Najpewniej tą właśnie drogą dostałem dodatek do firefoxa Razor Web Ads (widać go na zrzucie ekranu z bloga dp), który potem przez firefoxowy mechanizm synchronizacji rozniósł się na wszystkie moje komputery z zainstalowanym firefoxem. Wszystko dlatego, że fiutki z napiprojekt postanowiły monetyzować swoją apkę…

Jak się bronić?

Na stronie opencandy.com/privacy-matters/ twórcy tej platformy napisali, że prywatność jest wyborem użytkownika i w związku z tym aby instalator platformy OpenCandy nie wysyłał żadnych danych skanowania systemu oraz nie proponował żadnych rekomendowanych aplikacji wystarczy skorzystać z jednej z trzech możliwości:

• na czas instalacji odłączyć połączenie z internetem
• uruchomić instalator z linii komend z parametrem /NOCANDY
• skontaktować się z dostawcą oprogramowania i dostać od niego instalator aplikacji bez platformy OpenCandy.

Powyższe (oprócz tego, że brzmi jak jedna wielka kpina z użytkownika) nie rozwiązuje elementarnego problemu, wynikającego z tego, że jeśli kiedykolwiek, chociaż raz, skorzystaliście z instalatora aplikacji, której twórcy monetyzują sobie ego za pomocą OpenCandy to na swoim komputerze macie już zainstalowane komponenty OpenCandy. W FAQ dotyczącym tej platformy możemy znaleźć link do narzędzia clean-up tool. Niestety link prowadzi do chmury dropboxa, do nieistniejącego pliku:

Takie narzędzie można jednak znaleźć na ghack.net:

Granice absurdu

Dotarło do mnie, że dotarliśmy do granic jakiegoś absurdalnego łańcuszka. Najpierw mamy asystenta pobierania dobrychprogramów, który swoją drogą wymaga wyrażenia świadomej zgody na instalację dodatkowego softu i co najważniejsze, domyślnym stanem jest brak zgody (czyli klikając 'dalej' - niczego sobie tu nie zainstalujemy):

Potem mamy program instalacyjny platformy OpenCandy, który nam zainstaluje (zgoda nazywana „zalecaną rekomendacją” jest domyślna) jakieś Wursty, które z kolei same zaczną ładować do naszego systemu taką kosmiczną ilość śmieciowego softu, że w zasadzie mamy całkowicie rozpirzony system…

Chciałbym być w tej krytyce konstruktywny i zaproponuję takie rozwiązanie - czy nie potrzebujemy na dp nowej kategorii programów z gwarancją wolności ich instalatorów od takich monetyzujących platform jaką jest OpenCandy oraz wszelkich innych dodatków?

Źródła:

• http://pl.wikipedia.org/wiki/OpenCandy
• http://www.ghacks.net/2012/08/06/opencandy-explained-what-you-need-to-know-about-the-technology/
• http://traxter-online.net/opencandy/
• Pełny tekst licencji napiprojekt i OpenCandy: http://januszek.info/dp/napicandylicence.txt

Update

Do wyrażonej w tym wpisie krytyki polityki polegającej na uwłaszczeniu się na zasobach przygotowanych przez społeczność napisową, poprzez monetyzowanie (i to na granicy szarej strefy) aplikacji, która sama - jako taka - żadnej wartości do tej społeczności nie wnosi – co nazwałem: pasożytowaniem a ludzi, którzy tak postępują nazwałem: fiutkami – przedstawiciel napiprojekt ustosunkował się na profilu facebookowym tak :

Cóż... tośmy sobie pogadali... Czy dobrze rozumiem, że "załatwienie sprawy" polega na wywaleniu jednego syfu, w miejsce którego, wcześniej czy później będzie instalowany jakiś inny...?