PUP Guidelines für die Erkennung in G DATA Produkten

Dieser Artikel erklärt, nach welchen Regeln wir PUP (Possibly Unwanted Program) Erkennungen generieren

Wir veröffentlichen diese Richtlinien, um unseren Kunden und Partnern die Möglichkeit zu geben, festzustellen, ob eine Software als PUP (Possibly Unwanted Program) eingestuft werden sollte. Die G DATA Analysten halten sich strikt an diese Richtlinien, wenn sie eine Software, die wir bei G DATA analysieren, als PUP einstufen.

Die Erkennung beschränkt sich jedoch nicht nur auf einzelne Instanzen der Software selbst, sondern umfasst auch auch das Verhalten des Unternehmens, das hinter der Software steht. Die Nutzung einer Software läuft auf einen Vertrag zwischen zwei Parteien hinaus, dem Nutzer und dem Softwareentwickler/-anbieter/-vertreiber, in diesem Dokument nachfolgend Vertreiber genannt.

Alle Funktionen einer Software kosten Zeit und Geld für Entwicklung, Tests und Wartung.

Daher ist es höchst unwahrscheinlich, dass kommerzielle Software unnötige Funktionen enthält.

Daher muss davon ausgegangen werden, dass alle vorgefundenen Funktionen für bestimmte Zwecke hinzugefügt wurden.

Dennoch können Fehler passieren, aber es wird erwartet, dass sie behoben werden, insbesondere wenn sie zum Nachteil des Benutzers sind. Wiederholte "Fehler" zum Nachteil der Benutzer sind höchst unrealistisch.

Wenn eine Software gegen eine oder mehrere der folgenden Regeln verstößt, ist eine Einstufung durch G DATA als "potentiell unerwünscht" sehr wahrscheinlich. Kunden, die eine solche Software dennoch weiter nutzen möchten, können dies jederzeit tun, indem sie die Erkennung von "potenziell unerwünschten Programmen" in den Antiviren-Suiten von G DATA deaktivieren.

Betrug

Hier definiert als "unrechtmäßige oder kriminelle Täuschung mit dem Ziel eines finanziellen oder persönlichen Gewinns". Betrug ist immer vorsätzlich, jede Art von Betrug führt zu einer PUP-Klassifizierung oder schlimmer.

Beispiele für betrügerisches Softwareverhalten:

  • Vorgeben, dass es sich um eine Software oder einen Dienst von Microsoft oder einem anderen legitimen Anbieter handelt, obwohl dies nicht der Fall ist.

  • Anzeige eines gefälschten Countdowns für ein gefälschtes zeitlich begrenztes Angebot.

  • Registrierung, die sich als Kauf oder Abonnement herausstellt.

  • Anzeige eines anderen Verhaltens in virtuellen Umgebungen als auf echter Hardware.

  • Gefälschte Warnungen oder Pop-ups, die nicht auf Tatsachen beruhen.

Irrreführung

Hier definiert als "eine falsche Vorstellung oder einen falschen Eindruck vermitteln". Eine Irreführung des Benutzers muss nicht unbedingt absichtlich geschehen, sondern kann auch das Ergebnis einer schlechten Wortwahl sein, z. B. aufgrund einer schlechten Übersetzung. Wenn wir jedoch feststellen, dass irreführende Informationen beabsichtigt sind, stufen wir die Software als potenziell unerwünscht ein.

Absicht kann schwer nachzuweisen sein, aber einige Beispiele, in denen Informationen zur Irreführung von Benutzern gefunden werden können, sind

  • Das Verhalten der Software (sie behauptet, Ihren PC zu optimieren, tut dies aber nicht)

  • Dialoge und Texte in der grafischen Benutzeroberfläche (GUI) der Anwendung, die z. B. die Tatsache verbergen, dass die Software in großem Umfang personenbezogene Daten sammelt

  • Historie des Händlers oder der Software

  • Andere Software desselben Herstellers und Website/Webshop

  • Kampagnen beschränkt auf z.B.:

    • Zeit

    • Region

    • Software/Hardware-Umgebung

Zweck und Nutzen

Die Zwecke einer Software können in 2 Kategorien unterteilt werden: Zweck zum Nutzen der Benutzer und Zweck zum Nutzen der Händler.

Damit eine Software lebensfähig ist, muss sie einen Nutzen für den Benutzer haben, sonst ist niemand bereit, sie zu benutzen. Andererseits muss die Software dem Vertreiber einen gewissen Nutzen bringen, sonst war die Entwicklung der Software eine Verschwendung von Zeit und Geld. In den meisten Fällen ist die Software dazu bestimmt, eine Art von Einkommen zu generieren.

Für einen fairen Vertrag müssen die Vorteile für beide Seiten ausgewogen sein.

Wenn das Gleichgewicht jedoch zu stark in Richtung des Vertreibers kippt, ist die Wahrscheinlichkeit größer, dass diese Software potenziell unerwünscht ist.

  • Software muss einen Nutzen für den Anwender haben.

  • Jede Funktion sollte einen Nutzen für den Anwender haben.

  • Wenn eine Funktion dem Benutzer nicht direkt nützt, muss sie schriftlich begründet werden.

  • Der Preis, den der Nutzer zahlt, muss klar sein und den Nutzer nicht übervorteilen.

Werbung

Angebote, die die Software während/nach der Installation, Laufzeit oder Deinstallation macht, werden ebenfalls als Werbung gezählt.

Werbung kann in 2 Kategorien unterteilt werden:

Werbung, die die Software/Dienstleistung bewirbt

  • Affiliate Marketing wirbt in der Regel für die Software.

    • Es liegt in der Verantwortung des Vertriebspartners, die Partner auf Linie zu halten, Verstöße gegen diese Richtlinien durch Partner führen auch zu einem "potentiell unerwünschten" Urteil für den Softwareentwickler und -vertreiber.

    • Affiliates können nicht als Ausrede für unerwünschte Installationen verwendet werden.

    • Affiliates dürfen keine der Werberegeln verletzen, die im Abschnitt für Werbung durch die Software/Dienste unten aufgeführt sind:

  • Eigenwerbung in anderer Software desselben Anbieters.

Werbung durch die Software/den Dienst

  • Der Vertriebspartner übernimmt die volle Verantwortung für die dem Nutzer angezeigte Werbung.

  • Die Werbung muss in der Region des Nutzers gesetzeskonform sein.

  • Die Anzeigen dürfen nicht betrügerisch oder irreführend sein.

  • Die Anzeigen dürfen nicht beleidigend sein.

  • Die Anzeigen dürfen nicht drohend sein.

  • Die Anzeigen dürfen nicht für bekannte potenziell unerwünschte Anwendungen werben.

  • Die Anzeigen dürfen den Betrieb des Computers und/oder anderer Software nicht behindern oder stören.

  • Die beworbene Software darf nur mit ausdrücklicher Zustimmung des Nutzers installiert werden können.

Überwachung der Systemumgebung

Die Umgebungserkennung kann legitim genutzt werden, um die richtige Sprache und die richtigen Dateien für das Betriebssystem bereitzustellen.

Sie wird jedoch oft von potenziell unerwünschter Software verwendet, um festzustellen, welches anstößige Verhalten ausgeführt werden kann, ohne entdeckt zu werden. Dies kommt der Verwendung einer Abschalteinrichtung gleich, wie im Volkswagen-Dieselskandal. Wenn erkannt wird, dass die Software in einer Testumgebung läuft, verhält sich die Software anders als auf den PCs potenzieller Kunden.

Beispiele für erkannte Umgebungen:

  • Virtuelle Maschine (VMWare, VirtualBox, …​)

  • Antiviren-Software

  • Anti-Spyware

  • Region (geo IP, Sprache, Tageszeit, …​)

Beispiele für abweichende Aktionen

  • Installation einer Testversion nur auf echter Hardware, Installation der Vollversion auf virtuellen Maschinen.

  • Anzeige von Werbung nur auf realer Hardware, keine Anzeige auf virtuellen Rechnern.

  • Installation von aufdringlichen Browser-Add-ins oder anderen Softwaremodulen nur auf realer Hardware, nicht auf virtuellen Maschinen

Installation

Es gibt nur sehr wenige legitime Anwendungsfälle für die Silent-Installationsfunktionen gängiger Installationsprogramme wie Innosetup. Der häufigste legitime Fall ist die Bereitstellung durch einen Netzwerkadministrator. In diesem Fall müssen jedoch die EULA der betreffenden Software die Software ausdrücklich als für die geschäftliche Nutzung bestimmt kennzeichnen.

Meistens werden Funktionen zur stillen Installation verwendet, damit verbundene Unternehmen die Software ohne die Zustimmung des Benutzers installieren können.

  • Bei Testversionen gibt es keine legitimen Anwendungsfälle für eine stille Installation.

  • Bei Software für Verbraucher gibt es in der Regel keine legitimen Anwendungsfälle für die stille Installation.

  • Bei der stillen Installation wird die Zustimmung zu allen Installationsdialogen, der EULA und den Datenschutzrichtlinien aufgehoben. Da diese nichtig sind, gibt es keinen rechtsgültigen Vertrag zwischen dem Benutzer und dem Vertreiber.

EULA (End User License Agreement)

Die EULA (Endbenutzer-Lizenzvereinbarung) darf nichts Überraschendes oder etwas enthalten, das gegen das Gesetz des Landes verstößt, in dem die Software eingesetzt werden soll. Alle überraschenden oder unangemessenen Punkte sind unzulässig. Beispiele für solche Punkte sind:

  • Verwendung von gefälschter Malware zur Demonstration der Malware-Erkennung.

  • Einsatz von Minern für Kryptowährungen.

  • Sammlung und/oder Handel von personenbezogenen Daten

Alles, was der verteilenden Partei zusätzliche Vorteile verschafft, muss während des Installationsvorgangs außerhalb der EULA ausdrücklich deklariert werden; Beispiele siehe obigen

Datenschutzbestimmungen

Bei Datenschutzbestimmungen sollten bestimmte Grundsätze beachtet werden.

Die Datenschutzbestimmung

  • Muss GDPR- bzw. DSGVO-konform sein, wenn die Software in Europa eingesetzt werden soll.

  • Darf nichts Überraschendes enthalten.

  • Darf keine persönlich identifizierbaren Informationen als "Pseudonym" oder "anonym" deklarieren. Die Verwendung persönlich identifizierbarer Informationen darf nicht versteckt werden.

Alle unzulässigen Inhalte müssen in den Installationsdialogen ausdrücklich angegeben werden. Das bedeutet, dass jede zusätzliche Datenerfassung, die für das Funktionieren der Anwendung nicht notwendig ist, mit einem Opt-in versehen sein muss (der Nutzer muss sie aktiv einstellen) und im Installationsdialog so erklärt werden muss, dass jeder sie und die daraus resultierenden Konsequenzen verstehen kann. Beispiele für Datenerhebungen, die im Falle ihrer Verwendung ordnungsgemäß erklärt werden sollten:

  • Sammlung und/oder Handel von PII (persönlich identifizierbare Informationen).

  • Erhebung und/oder Weitergabe von Hardware-Informationen.

  • Erhebung und/oder Handel von Informationen über die Nutzung/Installation von Software Dritter.

  • Erhebung und/oder Handel von besuchten Webseiten.

  • Erhebung und/oder Handel von Anmeldeinformationen für Dienste von Drittanbietern

Test/Vollversionen

Die Art der Software muss bei der Installation deutlich gemacht werden. Das heißt, es muss ausdrücklich klargestellt werden, ob es sich um eine Voll- oder eine Testversion handelt und welche Merkmale und Funktionen gegeben sind und welche Einschränkungen bestehen.

Testversionen haben keinen Anspruch auf irgendeine Art von Entschädigung durch den Nutzer, mit Ausnahme von Kontaktinformationen, und sie dürfen in keiner Weise monetarisiert werden, bis der Nutzer sich für ein Upgrade auf die Vollversion entscheidet.

Autostart

Autostarteinträge müssen gerechtfertigt und für das Funktionieren der Anwendung notwendig sein.

Beispiele für mögliche Autostarteinträge sind:

  • Autostart

  • Dienst

  • Geplante Aufgabe

Beispiele für legitime Autostarteinträge sind:

Ausführen eines Antiviren-Dienstes
Prüfen auf Software-Updates

Beispiele für nicht legitime Autostarteinträge:

  • Treiber-Update-Scan bei jedem Systemstart.

  • Mehrere geplante Aufgaben für die Prüfung des Registrierungsreinigers.

  • Dienst installiert für Software-Downloader.

Laufzeit

Während der Laufzeit muss eine Software wie versprochen funktionieren, um die Erwartungen des Benutzers zu erfüllen und ihm einen Nutzen zu bieten. Jede Funktionalität, die diese Ziele nicht erfüllt, muss begründet werden.

Beispiele für gerechtfertigten Vertriebsnutzen:

  • Gelegentliche Erinnerung daran, dass die Software in der Testphase ist.

  • Werbevorteil der Vollversion.

  • Angemessene Anzeige von Werbung in werbeunterstützter Software.

Beispiele für nicht gerechtfertigte Vertriebsvorteile:

  • Prüfung auf Konkurrenzsoftware.

  • Anzeige von Werbung für Drittanbieter- oder andere Software desselben Anbieters in der Testversion.

  • Werbung für andere Software desselben Anbieters, die als Feature getarnt ist.

Deinstallation

Die Deinstallation muss leicht zu finden und auszuführen sein.

  • Sie muss vollständig sein und darf keine Dateien, Autostart-Einträge oder Registry-Manipulationen auf dem System hinterlassen.

  • Die Standardaktion für die Deinstallation muss deinstallieren sein.

  • Darf nicht schwieriger sein als die Installation

Webseite/Webshop

Website und/oder Webshop repräsentieren das Unternehmen und die Software. Sie muss wahrheitsgetreu und klar sein und darf keine Informationen verschleiern/verbergen.

Beispiele für unzulässige Website/Webshop-Praktiken:

  • Anzeige einer Produktmatrix, aber alle Links zu den verschiedenen Produkten führen zu demselben Produkt.

  • Verwendung von schnellen Countdowns, um den Kunden unter Druck zu setzen.

  • Verwendung von gefälschten Countdowns.

  • Die Anzahl der verbleibenden Einheiten ist erfunden (es gibt keinen "begrenzten Vorrat" bei Software-Downloads).

  • Der Countdown stoppt, ohne dass der Angebotszeitraum endet.

  • Die Anwendung ist immer im Angebot oder die Verkaufs"ereignisse" sind veraltet.

  • Standardmäßiges Hinzufügen anderer Produkte zum Einkaufswagen.

Ruf

Die Geschichte und der Ruf eines Vertriebsunternehmens und seiner Software können Aufschluss über die gegenwärtige Haltung des Vertriebsunternehmens und das Verhalten der Software geben.

Abhängig von der Historie hat ein Distributor ein unterschiedliches Maß an Glaubwürdigkeit.

Eine niedrige Glaubwürdigkeit erhält ein Anbieter durch:

  • Ein wiederholter PUP-Täter ist.

  • Ignoranz gegenüber den PUP-Kriterien vortäuscht.

  • Neue Verstöße "testet".

  • Aggressive Partnerprogramme einführen.

  • Vorrang des Profits vor dem Nutzwert.

  • Verwendung sehr allgemeiner Produktnamen, die möglicherweise nicht einmal einen dauerhaften Firmennamen enthalten, oder Werbung für den Firmennamen mit dem Produkt überhaupt.

  • Von Nutzern als irreführend oder sogar betrügerisch bezeichnet werden.

  • Kommunikation in einer rauen, bedrohlichen oder beleidigenden Art und Weise.

  • Der Versuch, die Erkennung zu umgehen.

  • Vortäuschen von Unwissenheit über grundlegende Technologien.

Anbieter sind in der Lage, eine hohe Glaubwürdigkeit innerhalb der Branche zu erlangen, wenn sie …​

  • alle PUP-Verstöße in der Vergangenheit behoben haben oder nie PUP-Verstöße hatten

  • Den Nutzen für den Anwender in den Vordergrund stellen.

  • Einhaltung von Standards der Softwareindustrie wie der CSA