Dure scam-telefoontjes mogelijk vanuit iPhone-apps

Je denkt dat je een leuke link opent in een iPhone-app, maar in werkelijkheid bel je naar een peperduur nummer. Een programmeur vraagt aandacht voor de gevaren.
Bart Breij - · Laatst bijgewerkt:

Dure scamtelefoontjes op iPhone mogelijkAls je in Safari op een telefoonnummer tikt, vraagt de iPhone je of je echt wilt bellen naar dat nummer. Het werkt op die manier bij telefoonnummers, belknoppen en links die naar een telefoonnummer verwijzen. Maar open je een bellink vanuit een app, dan krijg je geen bevestigingsvraag en begint de iPhone meteen te bellen. Een programmeur waarschuwt ervoor: dit kan wel eens tegen je gaan werken. Update onderaan: Facebook neemt als eerst maatregelen tegen de gevaarlijke links.


Programmeurs kunnen linkjes maken die rechtstreeks het belvenster van de iPhone aanspreken. Een gebruiker hoeft maar op de link te drukken en er wordt gebeld naar een nummer. Welk nummer dat is, kan je van tevoren niet zien omdat de link een andere omschrijving heeft. Het kan ‘Bel nu’ zijn in een app om tafeltjes te boeken in een restaurant, maar ook ‘Kijk dit leuke kattenfilmpje’ in praktisch elke andere app. Omdat de iPhone geen bevestigingsvraag verplicht vanuit apps, kan je bijvoorbeeld in Facebook Messenger een link toegestuurd krijgen die je laat bellen naar een peperduur telefoonnummer.

Bellen in FB Messenger Bellen in Gmail Google Plus iPhone

De functionaliteit om bellinks te versturen in apps bestaat al veel langer, maar op het blog Algorithm.dk wordt terecht aangekaart dat de bellinks in apps risico’s met zich meebrengen. Op de website IronGeek werd de kwestie al eens eerder aangekaart, maar de ontdekking is nu flink gaan circuleren op sociale netwerken. Daardoor ligt het beveiligingsprobleem nu op straat en kan het makkelijk door kwaadwillenden worden opgepakt. Zo was er recent bijvoorbeeld al sprake van iMessage-spam en ook in Facebook Messenger werden wij zelf al eens aangesproken door onbekende accounts.

De taak voor Apple lijkt gemakkelijk. Je zou zeggen dat Apple met een bevestigingsvraag moet komen of je wel echt wilt bellen vanuit een app. Maar het ligt genuanceerder: Apple heeft standaard die instelling al, alleen mogen apps hem negeren. Facebook Messenger en Gmail doen dat bijvoorbeeld. Daar valt ook wat voor te zeggen: anders zou je elke keer bij het openen van een link de vraag krijgen of je die wel echt wil openen in Google Chrome, Safari of Google Maps. De oplossing is dus nog niet zo eenvoudig. Het is dan ook aan te raden de komende tijd voorzichtig te zijn met links van bronnen die je niet honderd procent vertrouwt.

Update 26 augustus
Facebook heeft inmiddels te kennen gegeven dat ze werkt aan een oplossing tegen links die je laten bellen. De verbetering moet doorgevoerd worden in een update van de app.

Met dank aan Arnoud en Leon voor de nuancering

Reacties: 6 reacties

Reacties zijn gesloten voor dit artikel.