Ungewollt zum Klingelton Abo
Im Web und auch hier im Forum gibt es etliche Berichte über ungewollt abgeschlossene Klingelton-Abos. Der beschriebene Vorgang ist dabei immer sehr ähnlich: die Telefon-Nutzer behaupten sie haben eine App gestartet in der Werbung dargestellt wird. Ein harmloser Klick auf die Werbeanzeige, schon, so die Schilderung, erhielten sie eine SMS die den Abschluss eines Abos bestätigt. Berichtet wird darüber von Android Usern, genauso wie von iPhone- und anderen Smartphone Nutzern. Sogar auf der Computer Bild Web-Seite konnte man schon einen entsprechenden Bericht lesen.
Zuerst dachte ich das ist ganz großer Blödsinn. Wie soll mir denn jemand eine SMS über eine Abo Bestätigung schicken können, ohne dass er meine Telefonnummer hat? Die entsprechenden Verschwörungstheorien im Netz (Anzeigenfirmen wie AdMob haben Lücken im Android und im iPhone Betriebssystem gefunden und nutzen diese betrügerisch aus) erscheinen doch etwas weit hergeholt.
Nun gibt es aber tatsächlich eine Methode wie eine Telefonnummer übermittelt werden kann ohne dass dies der Nutzer explizit bestätigt: WAP Billing.
Wie funktioniert’s?
Bevor Smartphones richtig populär wurden, gab es ein Protokoll namens WAP, das speziell für's surfen mit dem Handy entwickelt wurde. WAP funktioniert ganz ähnlich wie html, bietet aber zusätzliche Dienste.
Sobald man mit seinem Browser eine Web-Seite aufruft, übermittelt der Browser dem Web-Server (= dem Rechner auf dem die Web-Seiten liegen) etliche Daten über den vom Nutzer verwendeten Computer: Die IP Adresse, die Bildschirmauflösung, den verwendeten Browser etc. Beim WAP Protokoll kommt dabei die so genannte MSISDN hinzu, eine eindeutige Nummer die u.a. die Info enthält über welchen Mobiltelefon-Provider man gerade surft.
Für den Nutzer sieht eine WAP-Seite genauso aus wie eine reguläre Web-Seite. Der Browser kann übergangslos vom Web-Protokoll (html) auf WAP wechseln, ohne dass man das merkt. Man erkennt den Unterschied lediglich daran, dass eine WAP Seite in der Regel nicht mit "www." sondern mit "wap." anfängt.
Wenn man über sein Handy eine solche WAP Seite eines Klingeltonanbieters aufruft, und dort beim Klingelton-Abo auf "Kaufen" drückt geschieht folgendes: Der Klingeltonanbieter weis über die per WAP Protokoll übermittelte MSISDN bei welchem Provider (Vodafone / O2 / T-Mobile etc.) man ist. Diesem Provider kann er nun mitteilen, dass ein Nutzer mit der übergebenen MSISDN Adresse (=Du) auf seiner WAP-Seite ein Abo abgeschlossen hat.
Der Provider glaubt dem Klingeltonanbieter dass Du auf seiner WAP-Seite einen Klingelton gekauft hast. Er teilt dem Klingeltonanbieter daher mit, welche Telefonnummer zu der MSISDN Adresse gehört. Schon hat der Klingeltonanbieter Deine Telefonnummer, ganz ohne dass Du diese irgendwo eingegeben hast, eine App die Telefonnummer hinter Deinem Rücken übermittelt hätte oder ähnliches.
Die Kommunikation zwischen Klingeltonanbieter und Handy-Provider funktioniert elektronisch, in Sekundenbruchteilen. Ganz genau nachlesen wie das funktioniert kann man das u.a. hier, hier und hier.
Was sind die Risiken beim WAP Billing?
Der kritische Punkt ist nun, dass damit jeder behaupten könnte Du hättest auf seiner WAP-Seite Waren eingekauft. Damit das Verfahren sicher funktioniert, muss die Vertrauenswürdigkeit des Händlers bei dem Du kaufst über jeden Zweifel erhaben sein.
Kreditkartenfirmen verlangen, dass wenn Du beim Händler mit Kreditkarte bezahlst, Du eine PIN in ein Terminal eingibst, auf einer Web-Seite den Kreditkarten-Sicherheitscode einträgst, oder zumindest beim Händler eine physische Unterschrift auf Papier leistest. Sie verlangen somit, dass der Händler außer Deiner Kreditkartennummer zumindest irgendeinen Beweis beibringen kann, dass Du tatsächlich bei ihm eingekauft hast. Beim WAP Billing haben die Telefon-Provider kein vergleichbares direktes Sicherheitskonzept eingebaut.
Der Service Provider Mira Networks führt auf seiner Web-Seite Nachteile des WAP Billings auf: „Not easily controlled, customers subscribe very easily not knowing he subscribed.”
Sind Bezahl-Services eine Lösung?
Eine Möglichkeit Missbrauch zu verhindern, ist die Einführung einer dritten, unabhängigen Partei: eine Firma die als Bezahlservice, als unabhängige Autorisierungsstelle fungiert. Der Klingeltonanbieter übermittelt dann Deine Kaufabsicht an diesen Bezahlservice. Der Bezahlservice bittet Dich noch einmal zu bestätigen, dass Du die Ware zum vereinbarten Preis wirklich beim Händler kaufen möchtest. Es ist dann der Bezahlservice der beim Handy-Provider Deine Telefonnummer ermittelt.
Ziel ist es Missbrauch damit auszuschliessen, indem man die Prüfung des Kaufs an diese unabhängige, neutrale Instanz des Bezahlservices verlagert. Das funktioniert natürlich nur sauber wenn die drei Unternehmen (Klingeltonanbieter, Bezahlservice und Provider) auch wirklich getrennt voneinander arbeiten. Letztlich wird hier das Problem der Vertrauenswürdigkeit nur verlagert. Statt dem Klingeltonanbieter muss man nun dem Bezahlservice bedingungslos vertrauen.
Vertrauen ist alles
Der Nutzer muss beim WAP Billing zu keinem Zeitpunkt seine Telefonnummer irgendwo eingeben. Diese wird dem Klingeltonanbieter vom Handy-Provider zur Verfügung gestellt, entweder direkt oder über einen Bezahlservice. Es obliegt Deinem Handy Provider zu entscheiden wen er für so vertrauensvoll erachtet, dass er ihm auf Anfrage Deine Telefonnummer herausgibt, und für ihn Zahlungen eintreibt. Du genehmigst dass Dein Provider dies darf, indem Du Deinen Handy-Vertrag mit dem Provider abschließt, und dabei den Bedingungen für das „mobile Bezahlen“ bzw. das entsprechende Äquivalent Deines Providers zustimmst.
Kann ich WAP Billing verhindern?
Voraussetzung für WAP Billing ist:
- Du musst über das Handy-Netz surfen. Sobald Du über W-LAN surfst kann Deine Telefonnummer in der Regel nicht mehr über die MSISDN Adresse ermittelt werden.
- Du musst in Deinem Handy-Vertrag "mobiles bezahlen", oder das entsprechende Äquivalent Deines Providers aktiviert haben, bzw. Deinem Provider an irgendeiner Stelle im Vertrag die Genehmigung erteilt haben, Deine Telefonnummer auf Anfrage herauszugeben
Ein paar Tipps was man beachten sollte falls man mobiles Bezahlen nicht deaktivieren möchte gibt es auf der Web-Seite des Betreibers einer betroffenen iPhone App.
Guter Artikel
Kann man nicht Browser installieren, die die MSISDN schlicht und einfach NICHT mitsenden? Also so, als wären die Seiten von einem PC aus aufgerufen worden?
Würde ich sofort installieren, denn nur Verrückte brauchen ein Klingelton-ABO (muß denn der Ton nach jedem Klingeln ersetzt werden?)
Ist das "Mobile Bezahlen" standardmäßig bei allen Providern aktiv? (insbesondere o2)? ;)
Hab ich leider auch schon erlebt 1 Telefonat später war das Abo wieder weg. Ärgerlich und hinterlistig kam es mir vor. hab mich auf Sie blacklist bei dem Anbieter setzen lassen. Kaufen will ich, wenn nur über den market
@Jörg U.: das ist richtig. Der Unterschied zum WAP Billing ist dass der Handy-Provider beim WAP Billing nicht nur Deine Telefonnummer herausgibt, sondern den vom Klingeltonanbieter geforderten Betrag auch als Dienstleistung für den Klingeltonanbieter über Deine Telefonrechnung eintreibt.
zum auslesen der Telefonnummer bedarf es nicht zwingend einer WAP Seite. Das kann jede App selbst mit Bordmitteln machen. Wenn die App die Berechtigung android.permission.READ_PHONE_STATE hat geht das ziemlich einfach. Dazu muss noch nicht mal über WAP gesurft werden, das geht dann auch über WLAN.
Ich hab das eben grad mal programmiert, geht sehr easy.
Kleiner Tipp für T-Mobile Kunden.
Geht in einen Telekom Shop oder ruft die 2202 an und beauftragt eine Sperre für Dritt Anbieter. Mit Dritt Anbieter sind Firmen gemeint die über die T-Mobile Rechnung Dienste und Leistungen in Rechnung stellen.
Und schon kann euch sowas nicht mehr passieren ;)
Allerdings funktioniert dann auch gameloft.com z. B. Nicht mehr...
Ich arbeite in einen Telekom Shop und hab öfters den ein oder anderen iPhone User der von diversen Firmen Rechnungen für Leistungen erhält die er nie genutzt hat. Das Problem ist es nur dieses nachzuweisen.
genau das ist mir pasiert mit werbung. von einer app und eine sms kommt mit abo ueber 4.90 hab. bei vodafon angerufen die konnten mir nicht helfen die haben mir nummer von jamba gegeben habe dort angerufen keine mensch nur eletronische stime und ich konnte meine abo kundigen ohne probleme aber 4.90 waren schon in rechnunug drin danach habe ich vodafon angerufen und scheiss. mobile zahlen ausgemacht
wocu brauht mam mobile zahlen sonst?
wenn man davo. ausgeht das man" mobiles bezahlen" aktiviert hatt, kann man es dan genauso auch widder deaktivieren lassen fuer genau den fall?
fuer welche dienste im prinzip genau braucht mann den solch einen bezahldienst, nur fuer diese werbebanner vertragsabschluesse?,oder faellt dann ajtomatisch auch bezahlen ueber html seiten weg?
muss mal bei o2 nachfragen,denn wenn das deaktivierbar ist,sollte man es auch einfach tun,wer kauft sich schlislich freiwillig nochn klingelton und das noch gleich im abo
html ist kein protokoll
Sehr guter und informativer Artikel, da werde ich heute Abend gleich mal meinen Handy- Vertrag checken ob mobiles Bezahlen aktiviert ist.
Sehr guter blog. Man lernt eben nie aus.
Super Blog. Danke.
Dank für den Blog dass wusste ich auch noch nicht.
hug
vielen dank, dass wusste ich noch gar nicht.
Echt hilfreich, danke!
wieder was gelernt.. Danke!
Großes Lob - sehr guter Artikel!
Auch von mir vielen Dank für den Blog! Sehr aufschlussreich das Ganze.
Vielen Dank für diesen nützlichen und informativen Blog!
Gruß
Hans