På smarttelefoner vil som regel telefonnumre vises som klikkbare lenker dersom du kommer over dem i e-poster, nettsider og andre apper. Når du klikker på dem tas du til oppringeren slik at du kan sette opp en samtale til det aktuelle nummeret.
Som regel vil du møte en eller annen form for sikkerhetsmekanisme når du trykker på en slik lenke. Enten må du bekrefte at du virkelig vil ringe nummeret, eller så må du selv trykke på ringetasten for å sette opp samtalen.
Men ikke nødvendigvis.
Les også: Mannen bak pop-up-reklamen: – Unnskyld!
Ringer uten advarsel
Andrei Neculaesei, utvikler hos Airtame i København, har beskrevet en metode for å bruke slike lenker til å lure iPhone-brukere til å ringe telefonnumre. Guillaume K. Ross, en informasjonssikkerhetskonsulent, beskrev også denne metoden under sikkerhetskonferansen BsidesLV tidligere denne måneden.
For mens du vil måtte bekrefte at du vil ringe numre når du klikker på lenker i Apples egne apper som Safari, er det slett ikke sikkert du trenger det i andres apper. En slik bekreftelsesdialog er det nemlig opp til apputvikleren selv å implementere.
Les også: Verdens første smarttelefon fyller 20 år
Telefonnummer-lenke
Det er mulig å lage en lenke til et telefonnummer ved hjelp av en URI-streng kalt «tel». Enkelt sagt er dette en lenke til et telefonnummer, og ved å klikke på denne vil telefonen ta deg til oppringeren hvor du kan ringe dette nummeret.
I iOS vil samtalen settes opp automatisk når oppringeren starter. I Android er dette til sammenligning implementert slik at telefonnummeret vises i oppringeren, men du må selv trykke på ringeikonet for å sette opp samtalen.
En lenke kan utformes på mange måter, og du trenger ikke nødvendigvis forstå at det er et telefonnummer du klikker på. Så i praksis er det mulig å sette opp en samtale til et dyrt nummer skjult som en lenke som ser ut som noe annet. Om du ikke er oppmerksom kan denne samtalen raskt gå igjennom.
Det kan virke som om de aller færreste tar seg tid til å implementere en advarsel i appene sine. Neculaesei testet med apper fra Facebook, Google, Twitter og Linkedin, og ingen av disse advarer om at du forsøker å ringe et telefonnummer dersom du trykker på en slik lenke i appene deres, skriver PC World.
Vi har selv forsøkt å trykke på en slik telefonnummerlenke i en nettside vi åpnet i Facebook Messenger. Da settes samtalen opp uten advarsel.
Om du vil lure noen til å ringe et telefonnummer kan du altså enten lage en nettside med et Javascript som åpner oppringeren, eller videresende til en slik adresse. Dersom noen da trykker på denne lenken for eksempel i Facebook Messenger vil samtalen settes opp uten at du foretar deg noe annet enn å trykke på en lenke i en app.
Les også: Nytt spesialsenter gir masterutdanning i etterforskning av datakrim
Kan også brukes med Facetime
Det er dessuten mulig å gjøre dette med videosamtaleappen Facetime, siden denne appen har sin egen URI. Da er det for eksempel mulig å lure brukere til å sette opp en videosamtale, og lagre bilder av oppringeren.
Dette kan brukes andre steder også. Om noen for eksempel ønsker å finne ut hvem som er bak et Twitter-brukernavn, kan de lage en lenke og dele den med denne personen på Twitter.
Om brukeren trykker på lenken, vil en Facetime-samtale settes opp, og telefonnummer eller e-postadresse avsløres.
I sin egen dokumentasjon beskriver Apple at iOS håndterer telefonlenker på denne måten. Her står det også at utvikleren kan legge til en slik advarsel. Spørsmålet er om Apple egentlig burde lagt til en sikkerhetsdialog i oppringeren, i stedet for å gjøre det opp til apputviklere å sørge for sikkerheten.
Android-telefoner var for øvrig rammet av et lignende problem for et par år siden, da noen av Samsungs telefoner aksepterte såkalte USSD-koder via tel-lenker. Dermed kunne noen med onde hensikter tvinge Samsung-telefoner til å slette seg selv ved å skjule slike koder i en lenke.
Les også:
Her får du ubegrenset skylagring
