Java è ormai considerato dagli esperti di sicurezza uno dei software più pericolosi in assoluto. Il plugin per browser è stato recentemente aggiornato da Oracle per chiudere una grave vulnerabilità, ma la patch ha risolto solo parzialmente il bug. Pochi giorni dopo sono state scoperte nuove falle che porta il numero totale a 52 per la versione Java 7. C’è però un’altra pratica molto fastidiosa messa in atto da Oracle, ovvero l’installazione di software indesiderato durante la procedura di update del plugin.
Un articolo pubblicato su ZDNet attribuisce a Java il titolo di re del foistware (software che inganna l’utente). L’installer del plugin include infatti sempre la Ask Toolbar di IAC e McAfee Security Scanner. L’utente distratto rischia di ritrovarsi sul PC questi due pacchetti, in quanto le corrispondenti check box sono già selezionate durante la procedura di setup. La toolbar è sicuramente la più fastidiosa perché viene mostrata in Firefox, Chrome e Internet Explorer; inoltre Ask.com diventa il motore di ricerca predefinito, anche se l’utente non ha concesso nessuna autorizzazione. Per ogni toolbar installata, Oracle riceve una commissione.
IAC utilizza tecniche ingannevoli per nascondere la presenza del suo software. La Ask Toolbar, infatti, non viene installata insieme al plugin Java, come indicato al termine del setup, ma 10 minuti dopo. Solo a questo punto, l’utente vedrà due moduli (Ask Toolbar e Ask Toolbar Updater) nell’elenco dei programmi (Pannello di controllo -> Programmi -> Programmi e funzionalità). Ed Bott di ZDNet ha notato che la Ask Toolbar è un vero e proprio adware. In Chrome 24, Ask.com sostituisce Google come motore di ricerca, e mostra quasi un’intera pagina di inserzioni pubblicitarie tra i risultati, molti dei quali sono a loro volta adware o spyware.
Fortunatamente i browser moderni integrano una feature che impedisce l’installazione automatica degli add-on. In Firefox e Internet Explorer devono essere attivati esplicitamente. Google aggiungerà la stessa funzionalità in Chrome 25. Internet Explorer 10 su Windows 8, invece, impedisce l’installazione della Ask Toolbar. Il consiglio è di prestare molta attenzione alle schermate che vengono mostrate durante il setup del plugin. Ma se Java non è indispensabile, la migliore soluzione è non installarlo, considerata la lentezza con cui Oracle risolve le vulnerabilità.