Ungewollt zum Klingelton Abo

  • Antworten:43
  • OffenNicht stickyNicht beantwortet
  • Forum-Beiträge: 156

09.08.2010, 13:35:00 via Website

Was ist passiert?
Im Web und auch hier im Forum gibt es etliche Berichte über ungewollt abgeschlossene Klingelton-Abos. Der beschriebene Vorgang ist dabei immer sehr ähnlich: die Telefon-Nutzer behaupten sie haben eine App gestartet in der Werbung dargestellt wird. Ein harmloser Klick auf die Werbeanzeige, schon, so die Behauptung, erhielten sie eine SMS die den Abschluss eines Abos bestätigt. Berichtet wird darüber von Android Usern, genauso wie von iPhone- und anderen Smartphone Nutzern. Sogar auf der Computer Bild Web-Seite konnte man schon einen entsprechenden Bericht lesen.

Zuerst dachte ich das ist ganz großer Blödsinn. Wie soll mir denn jemand eine SMS über eine Abo Bestätigung schicken können, ohne dass er meine Telefonnummer hat? Die entsprechenden Verschwörungstheorien im Netz (Anzeigenfirmen wie AdMob haben Lücken im Android und im iPhone Betriebssystem gefunden und nutzen diese betrügerisch aus) erscheinen doch etwas weit hergeholt.

Nun gibt es aber tatsächlich eine Methode wie eine Telefonnummer übermittelt werden kann ohne dass dies der Nutzer explizit bestätigt: WAP Billing.

Wie funktioniert’s?
Bevor Smartphones richtig populär wurden, gab es ein Protokoll namens WAP, das speziell für's surfen mit dem Handy entwickelt wurde. WAP funktioniert ganz ähnlich wie html, bietet aber zusätzliche Dienste.

Sobald man mit seinem Browser eine Web-Seite aufruft, übermittelt der Browser dem Web-Server (= dem Rechner auf dem die Web-Seiten liegen) etliche Daten über den vom Nutzer verwendeten Computer: Die IP Adresse, die Bildschirmauflösung, den verwendeten Browser etc. Beim WAP Protokoll kommt dabei die so genannte MSISDN hinzu, eine eindeutige Nummer die u.a. die Info enthält über welchen Mobiltelefon-Provider man gerade surft.

Für den Nutzer sieht eine WAP-Seite genauso aus wie eine reguläre Web-Seite. Der Browser kann übergangslos vom Web-Protokoll (html) auf WAP wechseln, ohne dass man das merkt. Man erkennt den Unterschied lediglich daran, dass eine WAP Seite in der Regel nicht mit "www." sondern mit "wap." anfängt.

Wenn man über sein Handy eine solche WAP Seite eines Klingeltonanbieters aufruft, und dort beim Klingelton-Abo auf "Kaufen" drückt geschieht folgendes: Der Klingeltonanbieter weis über die per WAP Protokoll übermittelte MSISDN bei welchem Provider (Vodafone / O2 / T-Mobile etc.) man ist. Diesem Provider kann er nun mitteilen, dass ein Nutzer mit der übergebenen MSISDN Adresse (=Du) auf seiner WAP-Seite ein Abo abgeschlossen hat.

Der Provider glaubt dem Klingeltonanbieter dass Du auf seiner WAP-Seite einen Klingelton gekauft hast. Er teilt dem Klingeltonanbieter daher mit, welche Telefonnummer zu der MSISDN Adresse gehört. Schon hat der Klingeltonanbieter Deine Telefonnummer, ganz ohne dass Du diese irgendwo eingegeben hast, eine App die Telefonnummer hinter Deinem Rücken übermittelt hätte oder ähnliches.

Die Kommunikation zwischen Klingeltonanbieter und Handy-Provider funktioniert elektronisch, in Sekundenbruchteilen. Ganz genau nachlesen wie das funktioniert kann man das u.a. hier, hier und hier.

Was sind die Risiken beim WAP Billing?
Der kritische Punkt ist nun, dass damit jeder behaupten könnte Du hättest auf seiner WAP-Seite Waren eingekauft. Damit das Verfahren sicher funktioniert, muss die Vertrauenswürdigkeit des Händlers bei dem Du kaufst über jeden Zweifel erhaben sein.

Kreditkartenfirmen verlangen, dass wenn Du beim Händler mit Kreditkarte bezahlst, Du eine PIN in ein Terminal eingibst, auf einer Web-Seite den Kreditkarten-Sicherheitscode einträgst, oder zumindest beim Händler eine physische Unterschrift auf Papier leistest. Sie verlangen somit, dass der Händler außer Deiner Kreditkartennummer zumindest irgendeinen Beweis beibringen kann, dass Du tatsächlich bei ihm eingekauft hast. Beim WAP Billing haben die Telefon-Provider kein vergleichbares direktes Sicherheitskonzept eingebaut.

Der Service Provider Mira Networks führt auf seiner Web-Seite Nachteile des WAP Billings auf: „Not easily controlled, customers subscribe very easily not knowing he subscribed.”

Sind Bezahl-Services eine Lösung?
Eine Möglichkeit Missbrauch zu verhindern, ist die Einführung einer dritten, unabhängigen Partei: eine Firma die als Bezahlservice, als unabhängige Autorisierungsstelle fungiert. Der Klingeltonanbieter übermittelt dann Deine Kaufabsicht an diesen Bezahlservice. Der Bezahlservice bittet Dich noch einmal zu bestätigen, dass Du die Ware zum vereinbarten Preis wirklich beim Händler kaufen möchtest. Es ist dann der Bezahlservice der beim Handy-Provider Deine Telefonnummer ermittelt.

Ziel ist es Missbrauch damit auszuschliessen, indem man die Prüfung des Kaufs an diese unabhängige, neutrale Instanz des Bezahlservices verlagert. Das funktioniert natürlich nur sauber wenn die drei Unternehmen (Klingeltonanbieter, Bezahlservice und Provider) auch wirklich getrennt voneinander arbeiten. Letztlich wird hier das Problem der Vertrauenswürdigkeit nur verlagert. Statt dem Klingeltonanbieter muss man nun dem Bezahlservice bedingungslos vertrauen.

Vertrauen ist alles
Der Nutzer muss beim WAP Billing zu keinem Zeitpunkt seine Telefonnummer irgendwo eingeben. Diese wird dem Klingeltonanbieter vom Handy-Provider zur Verfügung gestellt, entweder direkt oder über einen Bezahlservice. Es obliegt Deinem Handy Provider zu entscheiden wen er für so vertrauensvoll erachtet, dass er ihm auf Anfrage Deine Telefonnummer herausgibt, und für ihn Zahlungen eintreibt. Du genehmigst dass Dein Provider dies darf, indem Du Deinen Handy-Vertrag mit dem Provider abschließt, und dabei den Bedingungen für das „mobile Bezahlen“ bzw. das entsprechende Äquivalent Deines Providers zustimmst.

Kann ich WAP Billing verhindern?
Vorraussetzung für WAP Billing ist:
  • Du musst über das Handy-Netz surfen. Sobald Du über W-LAN surfst kann Deine Telefonnummer in der Regel nicht mehr über die MSISDN Adresse ermittelt werden.
  • Du musst in Deinem Handy-Vertrag "mobiles bezahlen", oder das entsprechende Äquivalent Deines Providers aktiviert haben, bzw. Deinem Provider an irgendeiner Stelle im Vertrag die Genehmigung erteilt haben, Deine Telefonnummer auf Anfrage herauszugeben

Ein paar Tipps was man beachten sollte falls man mobiles Bezahlen nicht deaktivieren möchte gibt es auf der Web-Seite des Betreibers einer betroffenen iPhone App: http://blog.aka-aki.com/?p=1808#comments

Sue N.Uncanny ValleyHartmut Schmidt

Antworten
  • Forum-Beiträge: 596

09.08.2010, 13:43:56 via App

könntest du auch als blog verfassen, guter Bericht :)

(Mitglied Nr. 0-8-15) zitat eines unbekannten freundes: ,,ich esse lieber ein ei (!!) als mich impfen zu lassen'' ;-)

Antworten
  • Forum-Beiträge: 138

09.08.2010, 13:46:04 via App

sehr aufschlussreich, hab mich schon immer gefragt wie das geht. danke dir.

ich muß gar nix... www.tomig.at

Antworten
  • Forum-Beiträge: 546

09.08.2010, 13:56:34 via App

Ich find den Bericht auch sehr interessant. Danke dafür.
LG Thomas

Antworten
  • Forum-Beiträge: 3.112

09.08.2010, 14:01:43 via Website

Ich hab ja hier schon die Vermutung geäußert, dass ich glaube, dass es so in etwa geht und nichts mit den Apps selber zu tun hat. Ich konnte mir nicht vorstellen, wie ein Banner Code ausführen kann.

Sehr schöner und ausführlicher Beitrag. Damit konntest Du einiges aufklären. Der sollte auch im Blog veröffentlicht werden.

Antworten
  • Forum-Beiträge: 180

09.08.2010, 17:15:08 via App

Danke für den tollen ausführlichen Bericht. Der mahnt mich mal wieder, mich vorsichtig im Netz zu bewegen.

Antworten
  • Forum-Beiträge: 56

09.08.2010, 18:32:11 via App

Ich glaube auch, dass du das als Blog einstellen solltest! So erreicht es mehr Leute!

Antworten
  • Forum-Beiträge: 115

28.09.2010, 21:26:04 via App

bin heute aus versehen auf ein werbefenster mit dem finger gekommen. und schwups 4.99 euro abo bei jamba. so ein schei*.

gruß

www.myspace.com/silverresistance

Antworten
  • Forum-Beiträge: 614

28.09.2010, 23:57:52 via Website

Das ist zum Glück seit dem Sommer in der Schweiz verboten.

Was uns alle angeht, können wir nur gemeinsam lösen. F. Dürrenmatt

Antworten
  • Forum-Beiträge: 20

07.01.2011, 13:01:13 via Website

Vielen Dank, Tobias!!!

Jetzt bin ich im Bilde! Ich werd jetzt alle Freunde auf deinen Bericht und die Sache aufmerksam machen.
Ich denke, jeder hier hat auch verstanden, dass es keine Schelte gibt für die Apps Entwickler. Ohne die könnten wir doch f a s t nicht mehr leben und ich werde jede kostenlose, gute App lieber mit einem kleinen Beitrag fördern als durch Werbe Abzocker ums hundertfache geschröpft zu werden.
Tobias hat das super zusammengestellt!

Vielleicht bist du auch der richtige Mann für die Verfassung einer Gesetzesänderung, die solchen Mißstand verbietet und hier den Verbraucherschutz stärkt.

Schließlich werden Millionen mit Werbung verdient und auch mit unserem "gewollten" Umgang mit Elektronik. Ich bezahle selbstverständlich für das, was ich bewusst bestellt habe!:what:

Antworten
  • Forum-Beiträge: 1.544

07.01.2011, 13:27:25 via App

Bei Eplus geht das (angeblich) ebenfalls nicht. Ich habe eine Prepaidkarte von Aldi und dem Support geschrieben, dass ich die Drittanbieterdienste gesperrt haben möchte und bekam eine Antwort, das alle meine geforderten Änderungen an Eplus weitergeleitet und geändert wurden.. Kann ich dem soweit trauen? Eigentlich hab ich's ja schriftlich (Mail), dass gesperrt wurde.
Lg Ansgar
P.S. Ich hatte auch bald vor eine App mit Werbung zu veröffentlichen, aber mit dieser ganzen "Abzock-Scheiße" will ich das dem User nicht antun, wird dann wohl eher ein freiwilliges Spenden.

Sue N.

Antworten
  • Forum-Beiträge: 430

07.01.2011, 20:31:25 via App

Ich bin bei O2 - habe ich schon letztes Jahr gemacht. (wapbilling deaktiviert).

Sue N.

Antworten
  • Forum-Beiträge: 2.574

10.01.2011, 09:30:45 via Website

Wo genau bei "mein vodafone" kann man das sperren?
Das ist ja nicht das "Vodafone mobiles bezahlen", oder?

Bye, Oliver

Antworten
  • Forum-Beiträge: 4.914

10.01.2011, 10:24:20 via Website

Oliver V.
Wo genau bei "mein vodafone" kann man das sperren?
Das ist ja nicht das "Vodafone mobiles bezahlen", oder?

Doch, genau das ist es. :)

@Heiko: Du kannst nicht mehr bequem über einen Klick dein Klingeltonabo bestellen, sondern musst mühselig ein Formular ausfüllen. :P Mehr Nachteile fallen mir nicht ein. Hab es noch nie in meinem Leben vermisst.

— geändert am 10.01.2011, 10:25:52

"Irgendwann, möglicherweise aber auch nie, werde ich dich bitten, mir eine kleine Gefälligkeit zu erweisen." (Don Corleone) Für ein friedliches Miteinander"

Oliver V.

Antworten
  • Forum-Beiträge: 42

10.01.2011, 10:36:20 via Website

wie genau oder wo im netz kann man wapbilling bei O2 abstellen ?

Antworten

Empfohlene Artikel