國外資安機構《Sophos》去年指出,Google Play Store出現了俗稱為「Fleeceware」的APP,會利用系統漏洞向下載的用戶收取高額費用。如今又有一批新的「騙錢軟體」再度上架,且總下載量已超過6億次。專家提醒,即使是官方商店的產品,民眾還是盡量不要隨意下載來路不明的APP 。
《Sophos》說明,「Fleeceware」是一個網路安全術語,指的是不以竊取用戶隱私為目標,而是先以免費試用期騙取用戶下載,等試用期一過就扣款收費的APP。
一般用戶在下載有免費試用期的付費APP之後,通常試用期一過,該APP就會要求用戶登入與 Play Store綁定的付款資料,付費後才能繼續使用。但用戶若不想繼續使用,不少人基於方便,會直接刪除該APP,僅少數人會記得到帳號設定中手動取消訂閱。
通常正當的APP開發者會把用戶刪除APP的做法視為不打算訂閱的訊號,自動替用戶關閉訂閱,但「Fleeceware」類型的APP並不會替用戶取消訂閱,因此用戶會在不知情的情況下被收費,且因為這項機制是訂閱制,收費將不止一次,直到用戶發現並按程序解約為止。
《Sophos》指出,「Fleeceware」類型APP通常是簡單的工具型APP,如鍵盤輸入法、QRCode 掃描器、計算機等,最常見的是照片編輯或錄影相關APP。最新一批APP總下載量顯示超過6億,可能是開發者花錢請人衝安裝量,並透過假的Play Store五星評論刷榜,才營造出這類APP「很受歡迎、可信度高」的假象,進而吸引更多不知情的用戶下載。根據統計,受害用戶被收取的費用約在100到240美元之間(約新台幣 3000到7200元)。
專家提醒,這類APP會在使用者安裝前就要求填入付款資訊,且通常試用期很短,還規定用戶必須在試用期到期前先申請取消訂閱,否則就視同購買。民眾下載APP前應詳閱說明,且盡量別下載來路不明的APP,哪怕是Google Play Store內的產品。
被《Sophos》點名的新一波「Fleeceware」類型軟體。 圖:取自Sophos官網