Tobias E.
- Forum-Beiträge: 181
09.08.2010, 13:35:00 via Website
09.08.2010 13:35:00 via Website
Was ist passiert?
Im Web und auch hier im Forum gibt es etliche Berichte über ungewollt abgeschlossene Klingelton-Abos. Der beschriebene Vorgang ist dabei immer sehr ähnlich: die Telefon-Nutzer behaupten sie haben eine App gestartet in der Werbung dargestellt wird. Ein harmloser Klick auf die Werbeanzeige, schon, so die Behauptung, erhielten sie eine SMS die den Abschluss eines Abos bestätigt. Berichtet wird darüber von Android Usern, genauso wie von iPhone- und anderen Smartphone Nutzern. Sogar auf der Computer Bild Web-Seite konnte man schon einen entsprechenden Bericht lesen.
Zuerst dachte ich das ist ganz großer Blödsinn. Wie soll mir denn jemand eine SMS über eine Abo Bestätigung schicken können, ohne dass er meine Telefonnummer hat? Die entsprechenden Verschwörungstheorien im Netz (Anzeigenfirmen wie AdMob haben Lücken im Android und im iPhone Betriebssystem gefunden und nutzen diese betrügerisch aus) erscheinen doch etwas weit hergeholt.
Nun gibt es aber tatsächlich eine Methode wie eine Telefonnummer übermittelt werden kann ohne dass dies der Nutzer explizit bestätigt: WAP Billing.
Wie funktioniert’s?
Bevor Smartphones richtig populär wurden, gab es ein Protokoll namens WAP, das speziell für's surfen mit dem Handy entwickelt wurde. WAP funktioniert ganz ähnlich wie html, bietet aber zusätzliche Dienste.
Sobald man mit seinem Browser eine Web-Seite aufruft, übermittelt der Browser dem Web-Server (= dem Rechner auf dem die Web-Seiten liegen) etliche Daten über den vom Nutzer verwendeten Computer: Die IP Adresse, die Bildschirmauflösung, den verwendeten Browser etc. Beim WAP Protokoll kommt dabei die so genannte MSISDN hinzu, eine eindeutige Nummer die u.a. die Info enthält über welchen Mobiltelefon-Provider man gerade surft.
Für den Nutzer sieht eine WAP-Seite genauso aus wie eine reguläre Web-Seite. Der Browser kann übergangslos vom Web-Protokoll (html) auf WAP wechseln, ohne dass man das merkt. Man erkennt den Unterschied lediglich daran, dass eine WAP Seite in der Regel nicht mit "www." sondern mit "wap." anfängt.
Wenn man über sein Handy eine solche WAP Seite eines Klingeltonanbieters aufruft, und dort beim Klingelton-Abo auf "Kaufen" drückt geschieht folgendes: Der Klingeltonanbieter weis über die per WAP Protokoll übermittelte MSISDN bei welchem Provider (Vodafone / O2 / T-Mobile etc.) man ist. Diesem Provider kann er nun mitteilen, dass ein Nutzer mit der übergebenen MSISDN Adresse (=Du) auf seiner WAP-Seite ein Abo abgeschlossen hat.
Der Provider glaubt dem Klingeltonanbieter dass Du auf seiner WAP-Seite einen Klingelton gekauft hast. Er teilt dem Klingeltonanbieter daher mit, welche Telefonnummer zu der MSISDN Adresse gehört. Schon hat der Klingeltonanbieter Deine Telefonnummer, ganz ohne dass Du diese irgendwo eingegeben hast, eine App die Telefonnummer hinter Deinem Rücken übermittelt hätte oder ähnliches.
Die Kommunikation zwischen Klingeltonanbieter und Handy-Provider funktioniert elektronisch, in Sekundenbruchteilen. Ganz genau nachlesen wie das funktioniert kann man das u.a. hier, hier und hier.
Was sind die Risiken beim WAP Billing?
Der kritische Punkt ist nun, dass damit jeder behaupten könnte Du hättest auf seiner WAP-Seite Waren eingekauft. Damit das Verfahren sicher funktioniert, muss die Vertrauenswürdigkeit des Händlers bei dem Du kaufst über jeden Zweifel erhaben sein.
Kreditkartenfirmen verlangen, dass wenn Du beim Händler mit Kreditkarte bezahlst, Du eine PIN in ein Terminal eingibst, auf einer Web-Seite den Kreditkarten-Sicherheitscode einträgst, oder zumindest beim Händler eine physische Unterschrift auf Papier leistest. Sie verlangen somit, dass der Händler außer Deiner Kreditkartennummer zumindest irgendeinen Beweis beibringen kann, dass Du tatsächlich bei ihm eingekauft hast. Beim WAP Billing haben die Telefon-Provider kein vergleichbares direktes Sicherheitskonzept eingebaut.
Der Service Provider Mira Networks führt auf seiner Web-Seite Nachteile des WAP Billings auf: „Not easily controlled, customers subscribe very easily not knowing he subscribed.”
Sind Bezahl-Services eine Lösung?
Eine Möglichkeit Missbrauch zu verhindern, ist die Einführung einer dritten, unabhängigen Partei: eine Firma die als Bezahlservice, als unabhängige Autorisierungsstelle fungiert. Der Klingeltonanbieter übermittelt dann Deine Kaufabsicht an diesen Bezahlservice. Der Bezahlservice bittet Dich noch einmal zu bestätigen, dass Du die Ware zum vereinbarten Preis wirklich beim Händler kaufen möchtest. Es ist dann der Bezahlservice der beim Handy-Provider Deine Telefonnummer ermittelt.
Ziel ist es Missbrauch damit auszuschliessen, indem man die Prüfung des Kaufs an diese unabhängige, neutrale Instanz des Bezahlservices verlagert. Das funktioniert natürlich nur sauber wenn die drei Unternehmen (Klingeltonanbieter, Bezahlservice und Provider) auch wirklich getrennt voneinander arbeiten. Letztlich wird hier das Problem der Vertrauenswürdigkeit nur verlagert. Statt dem Klingeltonanbieter muss man nun dem Bezahlservice bedingungslos vertrauen.
Vertrauen ist alles
Der Nutzer muss beim WAP Billing zu keinem Zeitpunkt seine Telefonnummer irgendwo eingeben. Diese wird dem Klingeltonanbieter vom Handy-Provider zur Verfügung gestellt, entweder direkt oder über einen Bezahlservice. Es obliegt Deinem Handy Provider zu entscheiden wen er für so vertrauensvoll erachtet, dass er ihm auf Anfrage Deine Telefonnummer herausgibt, und für ihn Zahlungen eintreibt. Du genehmigst dass Dein Provider dies darf, indem Du Deinen Handy-Vertrag mit dem Provider abschließt, und dabei den Bedingungen für das „mobile Bezahlen“ bzw. das entsprechende Äquivalent Deines Providers zustimmst.
Kann ich WAP Billing verhindern?
Vorraussetzung für WAP Billing ist:
Ein paar Tipps was man beachten sollte falls man mobiles Bezahlen nicht deaktivieren möchte gibt es auf der Web-Seite des Betreibers einer betroffenen iPhone App: http://blog.aka-aki.com/?p=1808#comments
Im Web und auch hier im Forum gibt es etliche Berichte über ungewollt abgeschlossene Klingelton-Abos. Der beschriebene Vorgang ist dabei immer sehr ähnlich: die Telefon-Nutzer behaupten sie haben eine App gestartet in der Werbung dargestellt wird. Ein harmloser Klick auf die Werbeanzeige, schon, so die Behauptung, erhielten sie eine SMS die den Abschluss eines Abos bestätigt. Berichtet wird darüber von Android Usern, genauso wie von iPhone- und anderen Smartphone Nutzern. Sogar auf der Computer Bild Web-Seite konnte man schon einen entsprechenden Bericht lesen.
Zuerst dachte ich das ist ganz großer Blödsinn. Wie soll mir denn jemand eine SMS über eine Abo Bestätigung schicken können, ohne dass er meine Telefonnummer hat? Die entsprechenden Verschwörungstheorien im Netz (Anzeigenfirmen wie AdMob haben Lücken im Android und im iPhone Betriebssystem gefunden und nutzen diese betrügerisch aus) erscheinen doch etwas weit hergeholt.
Nun gibt es aber tatsächlich eine Methode wie eine Telefonnummer übermittelt werden kann ohne dass dies der Nutzer explizit bestätigt: WAP Billing.
Wie funktioniert’s?
Bevor Smartphones richtig populär wurden, gab es ein Protokoll namens WAP, das speziell für's surfen mit dem Handy entwickelt wurde. WAP funktioniert ganz ähnlich wie html, bietet aber zusätzliche Dienste.
Sobald man mit seinem Browser eine Web-Seite aufruft, übermittelt der Browser dem Web-Server (= dem Rechner auf dem die Web-Seiten liegen) etliche Daten über den vom Nutzer verwendeten Computer: Die IP Adresse, die Bildschirmauflösung, den verwendeten Browser etc. Beim WAP Protokoll kommt dabei die so genannte MSISDN hinzu, eine eindeutige Nummer die u.a. die Info enthält über welchen Mobiltelefon-Provider man gerade surft.
Für den Nutzer sieht eine WAP-Seite genauso aus wie eine reguläre Web-Seite. Der Browser kann übergangslos vom Web-Protokoll (html) auf WAP wechseln, ohne dass man das merkt. Man erkennt den Unterschied lediglich daran, dass eine WAP Seite in der Regel nicht mit "www." sondern mit "wap." anfängt.
Wenn man über sein Handy eine solche WAP Seite eines Klingeltonanbieters aufruft, und dort beim Klingelton-Abo auf "Kaufen" drückt geschieht folgendes: Der Klingeltonanbieter weis über die per WAP Protokoll übermittelte MSISDN bei welchem Provider (Vodafone / O2 / T-Mobile etc.) man ist. Diesem Provider kann er nun mitteilen, dass ein Nutzer mit der übergebenen MSISDN Adresse (=Du) auf seiner WAP-Seite ein Abo abgeschlossen hat.
Der Provider glaubt dem Klingeltonanbieter dass Du auf seiner WAP-Seite einen Klingelton gekauft hast. Er teilt dem Klingeltonanbieter daher mit, welche Telefonnummer zu der MSISDN Adresse gehört. Schon hat der Klingeltonanbieter Deine Telefonnummer, ganz ohne dass Du diese irgendwo eingegeben hast, eine App die Telefonnummer hinter Deinem Rücken übermittelt hätte oder ähnliches.
Die Kommunikation zwischen Klingeltonanbieter und Handy-Provider funktioniert elektronisch, in Sekundenbruchteilen. Ganz genau nachlesen wie das funktioniert kann man das u.a. hier, hier und hier.
Was sind die Risiken beim WAP Billing?
Der kritische Punkt ist nun, dass damit jeder behaupten könnte Du hättest auf seiner WAP-Seite Waren eingekauft. Damit das Verfahren sicher funktioniert, muss die Vertrauenswürdigkeit des Händlers bei dem Du kaufst über jeden Zweifel erhaben sein.
Kreditkartenfirmen verlangen, dass wenn Du beim Händler mit Kreditkarte bezahlst, Du eine PIN in ein Terminal eingibst, auf einer Web-Seite den Kreditkarten-Sicherheitscode einträgst, oder zumindest beim Händler eine physische Unterschrift auf Papier leistest. Sie verlangen somit, dass der Händler außer Deiner Kreditkartennummer zumindest irgendeinen Beweis beibringen kann, dass Du tatsächlich bei ihm eingekauft hast. Beim WAP Billing haben die Telefon-Provider kein vergleichbares direktes Sicherheitskonzept eingebaut.
Der Service Provider Mira Networks führt auf seiner Web-Seite Nachteile des WAP Billings auf: „Not easily controlled, customers subscribe very easily not knowing he subscribed.”
Sind Bezahl-Services eine Lösung?
Eine Möglichkeit Missbrauch zu verhindern, ist die Einführung einer dritten, unabhängigen Partei: eine Firma die als Bezahlservice, als unabhängige Autorisierungsstelle fungiert. Der Klingeltonanbieter übermittelt dann Deine Kaufabsicht an diesen Bezahlservice. Der Bezahlservice bittet Dich noch einmal zu bestätigen, dass Du die Ware zum vereinbarten Preis wirklich beim Händler kaufen möchtest. Es ist dann der Bezahlservice der beim Handy-Provider Deine Telefonnummer ermittelt.
Ziel ist es Missbrauch damit auszuschliessen, indem man die Prüfung des Kaufs an diese unabhängige, neutrale Instanz des Bezahlservices verlagert. Das funktioniert natürlich nur sauber wenn die drei Unternehmen (Klingeltonanbieter, Bezahlservice und Provider) auch wirklich getrennt voneinander arbeiten. Letztlich wird hier das Problem der Vertrauenswürdigkeit nur verlagert. Statt dem Klingeltonanbieter muss man nun dem Bezahlservice bedingungslos vertrauen.
Vertrauen ist alles
Der Nutzer muss beim WAP Billing zu keinem Zeitpunkt seine Telefonnummer irgendwo eingeben. Diese wird dem Klingeltonanbieter vom Handy-Provider zur Verfügung gestellt, entweder direkt oder über einen Bezahlservice. Es obliegt Deinem Handy Provider zu entscheiden wen er für so vertrauensvoll erachtet, dass er ihm auf Anfrage Deine Telefonnummer herausgibt, und für ihn Zahlungen eintreibt. Du genehmigst dass Dein Provider dies darf, indem Du Deinen Handy-Vertrag mit dem Provider abschließt, und dabei den Bedingungen für das „mobile Bezahlen“ bzw. das entsprechende Äquivalent Deines Providers zustimmst.
Kann ich WAP Billing verhindern?
Vorraussetzung für WAP Billing ist:
- Du musst über das Handy-Netz surfen. Sobald Du über W-LAN surfst kann Deine Telefonnummer in der Regel nicht mehr über die MSISDN Adresse ermittelt werden.
- Du musst in Deinem Handy-Vertrag "mobiles bezahlen", oder das entsprechende Äquivalent Deines Providers aktiviert haben, bzw. Deinem Provider an irgendeiner Stelle im Vertrag die Genehmigung erteilt haben, Deine Telefonnummer auf Anfrage herauszugeben
Ein paar Tipps was man beachten sollte falls man mobiles Bezahlen nicht deaktivieren möchte gibt es auf der Web-Seite des Betreibers einer betroffenen iPhone App: http://blog.aka-aki.com/?p=1808#comments
Mehr Nachteile fallen mir nicht ein. Hab es noch nie in meinem Leben vermisst.
