Virtual Log

Ich möchte mit diesem Posting auf eine Sicherheitslücke im SMS-Dienst aufmerksam machen, über die ich vor einiger Zeit selbst gestolpert bin.

Vergangens Jahr erhielt ich folgende ungewollte SMS, die – so wie ich es auch bei E-Mails dieser Sorte handhabe – sofort als Spam klassifizierte und keine weitere Beachtung schenkte:

"Sie haben gewonnen! Senden Sie ein Sms mit GEWINN um Ihren Gewinncode zu erhalten. Diesen dann auf supergewinnspiel.example.com eingeben. 1,9/SMS abm.m.STOP" (URL geändert)

Ich staunte dann aber nicht schlecht, als auf meiner nächsten Handy-Rechnung für diese unverlangte Werbe-SMS (Absender mit 0930-Nummer) 1,90 EUR verrechnet wurden. Ich hatte an diesem Gewinnspiel natürlich nie teilgenommen und der SMS auch nicht geantwortet. Später fand ich heraus, dass bereits der bloße Empfang einer Mehrwert-SMS kostenpflichtig sein kann (Sicherheitslücke) und dass es keine Möglichkeit gibt, die Zahlung beim Provider zu stoppen oder rückgängig zu machen. Die österreichischen Mobilfunkprovider erklären sich in so einem Fall für nicht zuständig und verweisen lediglich auf die Möglichkeit, diesen SMS-Dienst generell zu sperren. Das tat ich dann auch.

Auch eine Beschwerde bei der zuständigen Fernmeldebehörde erwies sich als zwecklos, da sich solche dubiosen SMS-Anbieter oft irgendwo im europäischen Ausland befinden und lediglich eine Postkastenfirma betreiben.

Das Problem ist aufgrund steigender Beschwerden (einige Tausend pro Monat bei der AK, VKI und den Fernmeldebehörden) durchaus bekannt, aber eine Lösung dafür gibt es leider noch nicht, obwohl sie so einfach zu implementieren wäre: 1 Der alleinige Empfang einer SMS dürfte ohne vorherige aktive Einwilligung durch eine SMS nie kostenpflichtig sein. 2 Opt-In statt Opt-Out: Mehrwert-SMS sollten grundsätzlich gesperrt sein, außer man schaltet bestimmte Anbieter gezielt frei. SMS-Blocker wie auf sms-sperre.at sind meiner Meinung nach nur eine unzureichende Lösung. Mein Tipp: Sollte man nicht auf Mehrwert-SMS angewiesen sein, empfehle ich den kostenpflichtigen Empfang generell beim Provider sperren zu lassen, um Überraschungen dieser Art zu vermeiden.

07.03.2007 Virtual Net

Kommentieren

Name
E-Mail (wird nicht veröffentlicht)
Homepage (optional)