Elég egy rossz beállítás, és az okos kis telefonunk önálló életre kel: felhív boldog-boldogtalant, meg néhány emelt díjas számot. Mi pedig fizetünk. Sokat. A Biztonságportál bemutatta, hol a hiba.

A hiba természetesen bennünk van: túlságosan elkényelmesedtünk. Amikor például webes böngészés közben rátalálunk egy hivatkozásra, azaz linkre, nem nézzük meg, mi van mögötte3, hanem automatikusan kattintunk. A hivatkozások azonban nem csak további weblapokra mutatnak. Tartalmazhatnak telefonszámot is emígyen:

A dolog pofonegyszerű: az okoseszköz érzékeli okosan, hogy egy telefonszámot takar a hivatkozás. Ha a felhasználó rábök az ujjával, a böngésző értelmezi a hivatkozás jellegét, és elindítja a tárcsázást. Ez érthető, hiszen a kis felületen nehéz navigálni, ezért a fejlesztők igyekeznek úgy megkonstruálni mobil alkalmazásaikat, hogy a felhasználók a lehető legkevesebb "kattintással" tudják elérni céljaikat. Ez érvényesül a telefonszámot tartalmazó linkeknél is. Kényelmes? Nagyon kényelmes. Veszélyes? Meglehetősen.

Ügyes csalók ugyanis egy rosszindulatú weboldalon vagy üzenetben emelt díjas számokat is elhelyezhetnek. És ha rá tudják venni veszik a mobil alkalmazást az automatikus tárcsázásra, az okostelefon vidáman teszi a dolgát, azaz rögtön elkezd telefonálgatni. Van azonban egy szerencsénk: ez látszik, mivel készülék kijelzőjén megjelenik a tárcsázó felület.

A koppenhágai Airtame cég egyik fejlesztője, bizonyos Andrei Neculaesei utánajárt kicsit a dolognak. Megnézte, hogyan viselkednek a különböző alkalmazások ilyen esetben. Az Apple mobil Safarija felhasználói megerősítést kér, mielőtt egy telefonszámot tartalmazó linket megnyitna. Ugyanakkor a Facebook Messenger, az Apple Facetime, a Gmail és Google+ szó nélkül elkezdett tárcsázni. Az alkalmazások többségében beállítható ugyan, hogy ilyenkor jelenjen meg egy figyelmeztető üzenet, de ez az értesítő alapértelmezetten kikapcsolt állapotban van.

Tárcsáz, hív – önállóan

Neculaesei gondolt egyet, és írt egy egyszerű JavaScript kódot, amely tulajdonképpen automatikusan lekattintotta a tárcsázásra szolgáló linkeket. Ezzel elérte, hogy amikor megnyílt egy weboldal vagy egy üzenet a vizsgált alkalmazásokban, akkor felhasználói közreműködés nélkül megjelent a tárcsázó felület, és az okostelefon már hívta is a számot. Nyilván mindennek akkor van nagyobb kockázata, ha a csalók emelt díjas telefonszámokat helyeznek el a linkek mögött, amiket a telefon a tulajdonosának kontójára automatikusan felhív.

Neculaesei értesítette az említett alkalmazások fejlesztőit a problémáról, de állítólag egyelőre nem kapott érdemi választ. A holland kutató vizsgálatai közel sem tekinthetők teljes körűnek.

A teljes folyamatot itt írta le Neculaesei.