Quando si scaricano e si installano nuove applicazioni dalla rete Internet è bene essere consapevoli del fatto che alcune di esse possono essere foriere di ospiti poco graditi.
Una tendenza sempre più diffusa è quella che vede l’inserimento, direttamente nel file d’installazione di un programma, spesso piuttosto popolare, di componenti superflui, assolutamente non necessari per il funzionamento dell’applicazione alla quale si è interessati.
Generalmente si tratta dei cosiddetti drive by installer, procedure d’installazione che installano sì il software d’interesse per l’utente ma che installano anche barre degli strumenti per il browser e componenti indesiderati.
L’integrazione di tali elementi viene frequentemente accettata dagli sviluppatori perché consente di ottenere degli introiti a fronte della distribuzione gratuita del programma.
Non c’è nulla di male, nell’inserire meccanismi di sponsorizzazione nelle applicazioni che vengono distribuite a titolo gratuito: l’importante è che la presenza di tali strumenti venga chiaramente evidenziata in fase d’installazione mantenendo un atteggiamento il più possibile trasparente e leale nei confronti dell’utenza. Sarà l’utente a decidere se concedere l’installazione della “sponsorizzazione” oppure se negarla, ove possibile.
Quando si scaricano e si installano sul sistema dei nuovi software, quindi, è importantissimo verificare che insieme ad essi non venga previsto il caricamento di componenti aggiuntivi superflui o, talvolta, pericolosi.
Ricadono nella definizione di PUPs tutte quelle applicazioni che agiscono in maniera molto simile a quella di un virus o di uno spyware.
Si tratta di elementi che s’insediano sul sistema dell’utente durante l’avvio della procedura d’installazione di programmi assolutamente legittimi.
Il possibile caricamento di questi oggetti viene solitamente dichiarato nelle condizioni del contratto di licenza d’uso presentate al momento dell’avvio della procedura d’installazione.
I PUPs possono limitarsi ad installare barre degli strumenti indesiderate oppure a caricare e ad eseguire automaticamente, sul sistema dell’utente, applicazioni capaci di monitorare le attività dell’utente (spesso si parla di finalità statistiche e di marketing).
Quali sono, quindi, le strategie migliori per evitare l’installazione di barre degli strumenti e programmi indesiderati?
1) Scaricare i software da IlSoftware.it o dai siti web ufficiali degli sviluppatori di ciascuna applicazione.
IlSoftware.it, a parte poche eccezioni (hosting in proprio dei software), fa riferimento ai link per il download dei programmi offerti dai rispettivi sviluppatori. Non c’è quindi modo migliore per scaricare un programma. Diffidate da siti web poco noti o da quei siti che utilizzano downloader.
Alcuni siti Internet, anche italiani, che offrono il download di software, purtroppo, hanno da tempo deciso di monetizzare ulteriormente la propria attività non proponendo più i file d’installazione originali dei vari programmi freeware, shareware e software liberi ma presentando un downloader che non porta nessun vantaggio per l’utente. Il downloader è semplicemente un eseguibile che, prima di far scaricare il programma d’interesse per l’utente, obbliga al prelievo o comunque alla valutazione di programmi assolutamente superflui e toolbar inutili.
Questo comportamento, purtroppo, viene tenuto da un sempre maggior numero di siti web che propongono il download di software.
Ci preme precisare che IlSoftware.it non è tra questi siti web. IlSoftware.it – permetteteci di rimarcarlo – ha sempre rifiutato accordi con società che fanno business “giocando” pericolose partite sulle spalle degli utenti, proponendo programmi downloader che fungono da testa di ponte per l’installazione di componenti inutili od addirittura di spyware.
Anche il notissimo SourceForge, almeno per quello che concerne il download di alcuni famosi software presenti nei suoi archivi ha iniziato a guardare ai downloader ed ai drive by installer: Sourceforge guarda agli adware: come scaricare solo ciò che interessa.
Quando si prova a scaricare il noto client FTP FileZilla, ad esempio, SourceForge presenta tutt’oggi un file d’installazione che non è quello dello sviluppatore ma un installer non ufficiale che funge da “testa di ponte” per il caricamento, sul sistema dell’utente, di applicazioni potenzialmente di scarso interesse per l’utente stesso.
2) Effettuare una scansione con VirusTotal
Prima di eseguire qualsiasi software scaricato dalla Rete è buona cosa effettuare una scansione del file d’installazione con VirusTotal.
Il servizio, di proprietà di Google, consente di sottoporre a scansione qualsiasi eseguibile con oltre 50 motori antivirus ed antimalware.
Nel caso in cui un eseguibile contenesse componenti superflui o pericolosi, qualche motore antivirus lo indicherà sicuramente come “PUP” (Potentially unwanted program), come “Adware” o come “Spyware”.
3) Estrarre il file d’installazione “ufficiale”
Nel caso di alcune applicazioni, il pacchetto che consente l’installazione “pulita”, senza componenti addizionali, potrebbe essere estraibile direttamente dal file .exe autoscompattante.
Il tentativo può essere effettuato aprendo l’eseguibile con un software come 7-Zip (download gratuito da questa pagina).
Per procedere, dopo aver installato il software 7-Zip sul sistema, si potrà cliccare con il tasto destro del mouse sull’eseguibile di proprio interesse quindi scegliere la voce Apri od Open archive.
I file per l’installazione del programma vero e proprio, scevro da software e toolbar inutili, sono spesso conservati in una sottocartella dal nome poco indicativo. Estraendo solamente questi file, spesso si ha modo di ottenere una procedura d’installazione “pulita”, libera da qualsiasi componente aggiuntivo.
Per togliersi ogni dubbio, è possibile sottoporre a scansione con VirusTotal il file d’installazione (in formato .exe o .msi) estratto utilizzando 7-Zip.
4) Esaminare le condizioni di licenza d’uso (EULA)
Per evitare di commettere un illecito, chi sviluppa e distribuisce software è tenuto ad indicare sempre, all’interno delle condizioni di licenza d’uso (EULA), visualizzate al momento dell’installazione del programma, l’eventuale presenza di “software sviluppati da terze parti” chiarendone anche il loro comportamento.
L’applicazione EULAlyzer (dev’essere installata sul sistema, non è disponibile una versione “portabile”) si occupa di esaminare il contenuto del contratto di licenza d’uso (in inglese EULA ossia End user license agreement) di qualunque applicazione che si è in procinto di caricare sul proprio sistema.
Seppur un po´ datata, EULAlyzer permette di evidenziare il caricamento di elementi potenzialmente indesiderati risparmiando all’utente la fatica di leggere con attenzione tutte le condizioni di licenza.
Per analizzare il contenuto di qualunque contratto di licenza d’uso, basta fare clic su Scan new license agreement ed incollare l’EULA da esaminare.
In alternativa, si può cliccare sul pulsante “+” e mantenere premuto il tasto sinistro del mouse fino a selezionare la finestra contenente i termini del contratto di licenza:
Cliccando sul pulsante Analyze, EULAlyzer evidenzierà immediatamente gli aspetti della licenza che possono destare maggior preoccupazione (i.e. riferimenti all’installazione di componenti di terze parti):
Chi preferisse non installare nulla, può servirsi, al posto di EULAlyzer, del servizio raggiungibile cliccando qui.
Nel riquadro Paste license here basta incollare il contenuto della licenza d’uso da esaminare. Lasciando selezionata l’opzione Detailed analysis quindi cliccando su Start Analyzer, l’applicazione web effettuerà un’analisi simile a quella svolta da EULAlyzer.
5) Installazione ed utilizzo di Unchecky
L’applicazione gratuita Unchecky riveste un ruolo essenziale nell’evitare il caricamento sul sistema di toolbar e componenti indesiderati.
Una volta installato, il programma deve restare sempre in esecuzione sul sistema: penserà Unchecky a visualizzare un messaggio d’allerta nel momento in cui l’utente fosse in procinto d’installare un componente indesiderato o, peggio, dannoso.
Nell’articolo Evitare installazione di toolbar e programmi indesiderati è possibile documentarsi sul funzionamento di Unchecky.
È bene tenere presente che, ad oggi, il programma non è in grado di riconoscere la totalità dei PUPs che si possono “annidare” nelle procedure d’installazione delle varie applicazioni.
L’utilizzo di Unchecky, quindi, non deve prescindere dall’applicazione degli altri consigli qui presentati.
6) Verificare che il software antimalware installato blocchi i PUPs
Non tutti i software antimalware sono egualmente abili nell’individuare e nel segnalare i PUPs. In ogni caso è opportuno accertarsi, accedendo alle impostazioni, che la scansione in tempo reale esercitata dall’antimalware installato sul sistema si focalizzi anche sul riconoscimento di eventuali PUPs.
7) Scelta dell’installazione personalizzata. Non fare mai clic su Avanti senza verificare ciò che si sta per installare
Come regola generale è bene riporre la massima attenzione sulle finestre che vengono esposte quando si avvia l’installazione di un qualunque software scaricato da Internet.
In alcune circostanze, infatti, può risultare difficoltoso stabilire quali finestre della procedura d’installazione si riferiscono al setup del programma vero e proprio e quali al caricamento sul sistema di componenti pubblicitari superflui.
Pulsanti come I agree (sono d’accordo) ed Accept (accetto) vengono generalmente mostrati, all’avvio dell’installazione di un programma, per fare in modo che l’utente accetti o, viceversa, rigetti (e in questo caso l’installazione viene interrotta) le condizioni illustrate nella licenza d’uso.
Sempre più di frequente viene utilizzata la stessa formula anche per consentire o negare l’installazione di componenti pubblicitari non strettamente necessari per il funzionamento del programma. In questi casi, cliccando su Annulla, Cancel o Decline, non si autorizzerà il caricamento, sul sistema in uso, del componente pubblicitario e l’installazione del programma continuerà regolarmente.
Il nostro suggerimento è quindi quello di verificare con attenzione a che cosa si riferiscono i pulsanti I agree od Accept.
Quando si avvia l’installazione di un programma, inoltre, è sempre preferibile optare per l’installazione personalizzata (o custom).
Scegliendo l’installazione completa o tipica, infatti, la procedura di setup spesso carica anche un set di applicazioni totalmente superflue, senza visualizzare alcuna richiesta. Massima attenzione dovrebbe essere riposta nel momento in cui vengano visualizzate delle caselle di scelta: spesso è necessario disattivarne una per poter confermare la volontà di non procedere al caricamento dei componenti di sponsorizzazione integrati nella procedura di setup.
Talvolta, il caricamento di componenti pubblicitari superflui può avvenire anche a fine installazione mediante l’esposizione di apposite finestre di dialogo.
È insomma importante agire sempre con la massima prudenza.
– Se toolbar e programmi indesiderati fossero ormai già stati installati sul sistema in uso, è possibile seguire le indicazioni riportate nell’articolo Rimuovere programmi indesiderati: suggerimenti pratici.