'Fabrikant Alcatel-telefoons schreef klanten stiekem in bij betaaldienst'

TCL, de fabrikant van BlackBerry- en Alcatel-telefoons, heeft met zijn Weer-app geprobeerd klanten stiekem in te schrijven bij een betaaldienst, meldt een Brits beveiligingsbedrijf. Ook pleegde de Weer-app klikfraude. De app verzamelt nog steeds allerlei data van gebruikers.

De fraude is naar aanleiding van een melding van het Britse beveiligingsbedrijf Upstream Systems en zakenkrant The Wall Street Journal inmiddels gestopt, schrijft de krant. Dat gebeurde door een update in november. Wel verzamelt de app nog steeds onder meer e-mailadressen, imei-nummers en geografische gegevens van gebruikers en stuurt die naar een server in China.

De weer-app in kwestie, Weather Forecast, staat voorgeïnstalleerd op Alcatel-telefoons. Op BlackBerry's staat hij niet. TCL brengt telefoons uit onder beide merknamen, maar de software van BlackBerry-telefoons komt van het Canadese bedrijf BlackBerry. Ook kunnen gebruikers van andere Android-telefoons de app downloaden. Inclusief TCL's eigen modellen zit het aantal installaties in de Play Store boven de tien miljoen.

De app heeft in juli en augustus klanten en gebruikers stiekem aangemeld bij een betaalde vr-dienst, waarna ze gingen betalen. Ook opende de app op de achtergrond webpagina's, waarbij de app automatisch op knoppen klikte om klikfraude te plegen. Gebruikers kwamen daar achter, doordat de accu sneller leeg ging, meldt Upstream Systems. Dat gebeurde in totaal in zeven landen.

TCL zegt in een reactie niets over de dataverzameling. Het zegt over de fraude dat het met consultants gaat kijken naar de beveiliging van zijn apps. Daarmee is niet duidelijk of de fraude het werk is geweest van een enkele medewerker of dat het beleid is van het bedrijf.

Door Arnoud Wokke

Redacteur

03-01-2019 • 15:07

70 Linkedin

Reacties (70)

70
68
38
4
0
25
Wijzig sortering
De app heeft in juli en augustus klanten en gebruikers stiekem aangemeld bij een betaalde vr-dienst, waarna ze gingen betalen.

Vanaf welke rekening dan? Lijkt me sterk dat een aanmelding door een app volledig geautomatiseerd mijn rekeningnummer invult en correcte persoonsgegevens.
Vanaf welke rekening dan?
In NL kun je bij sommige providers voor zover ik weet meeliften op de telefoonrekening.. geen idee welke diensten daar gebruik van maken.
Maar dit kan een app zonder interactie van de gebruiker toch niet activeren? Er komt altijd een dialoog naar boven van de Play Store waar een gebruiker handmatig de betaling moet accepteren.
In de play store wel, maar wanneer betaling via je telefoonfactuur mogelijk is dus niet. Je hoeft er niet eens zelf iets voor te doen, als een of andere louche partij je nummer toevallig correct doorgeeft zit je er al aan vast, geen bevestiging niets.

Je krijgt, in ieder geval bij Vodafone, wel een SMS dat je ergens voor bent aangemeld, met daarbij de mogelijkheid om in te loggen op een site waar je je rechten aan kunt passen. Maar op het moment dat je die SMS dus krijgt, zijn de eerste kosten al fijn voor je gemaakt.
Nou nee. Je provider kan je niet zomaar kosten in rekening brengen voor iets waar je niet akkoord mee bent gegaan, en dan ligt de bewijslast bij je provider.

Edit @bilgy_no1 : Leerzaam, dank.

[Reactie gewijzigd door TheekAzzaBreek op 4 januari 2019 11:34]

Onlangs een akkefietje gehad... In WhatsApp had ik een .gif verstuurd uit de galerij. Kreeg ik iets later een SMS dat ik een abonnement op een of andere Engelse dienst zou hebben afgesloten à €5 per week, met betaling via de telefoonrekening. Dit ondanks dat ik nergens akkoord heb geklikt op zo'n abonnement. Na even zoeken blijkt het een beruchte Engelse afzettersclub te zijn.

Dit kan omdat de mogelijkheid diensten van derden via de telefoonrekening te betalen standaard AAN staat. Je moet dit zelf uitzetten om je tegen dergelijke fraude te beschermen. Voor meer info, zie https://www.payinfo.nl/ en je Instellingen binnen je persoonlijke dossier bij je provider.

T-mobile heeft alles netjes opgelost, met een telefoontje van 5 minuten was het geregeld. Ik vrees echter dat veel mensen hier niet direct achterkomen en dan al veel geld verder zijn vooraleer ze hier vanaf zijn. €5 per week is meer dan €20 per maand... Het tikt dus hard aan.

Eigenlijk moeten die betaalmogelijkheden via de telefoonrekening standaard uit staan in mijn ogen. Tot die tijd adviseer ik iedereen om zelf even actie te ondernemen en ook kennissen om je heen die wellicht wat makkelijker te bedonderen zijn ook te helpen dit goed te zetten.
De link van payinfo is echt een aanrader, thanks. Stichting gedragscodes mobiele diensten zit hier achter. Met een minuut kan je diensten en eenmalige diensten blokkeren :)
In WhatsApp had ik een .gif verstuurd uit de galerij. Kreeg ik iets later een SMS dat ik een abonnement op een of andere Engelse dienst zou hebben afgesloten à €5 per week, met betaling via de telefoonrekening. Dit ondanks dat ik nergens akkoord heb geklikt op zo'n abonnement.
Kan je eens uitleggen *hoe* dat dan akkoord heeft gegeven om via je telefoonrekening geld te incasseren? Voor betaling via Play Store naar telco als payment method moet je alsnog met *iets* akkoord gaan middels een popup van Google/Play Store (fingerprint, Google account password).

Een afbeelding uit je galerij sturen heeft er volgens mij niets mee te maken...
Het is geen playstore betaling.... Ken je die oude diensten voor telefoonnummers niet? Zoals 1 nieuwe ringtone per week ofzo, die konden met enkel een smsje (sms AAN naar blabla) en ik denk dat dat smsje meer voor henzelf was en ze de dienst zo konden aanzetten.
Oké, maar het sturen van een afbeelding uit je gallerij met Whatsapp stuurt nog steeds geen SMS naar een betaalde dienst voor een abonnement.
Ik denk persoonlijk dat het gifje in Whatsapp los staat van het abonnement, er zijn miljoenen mensen die gifjes versturen in Whatsapp en niemand die dat probleem heeft. Ik denk dat zijn nummer gewoon ergens gelekt is.
Precies. Ik heb zeker geen akkoord gegeven om zo'n abonnement af te sluiten. Maar kennelijk kon de betreffende 'dienst' met mijn telefoonnummer toch betalingen in gang zetten via mijn telefoonrekening. Zoals gezegd heb ik het gemeld bij T-mobile en hebben zij het bedrag gecrediteerd. Maar wees dus alert op zulke fraude.

NB dit is niet hetzelfde als een Play Store betaling via de telefoonrekening. Dat is een andere instelling.
Mijn eigen ervaring vertelt me toch écht een heel ander verhaal. Uiteindelijk, na veel gedoe heeft Vodafone 'uit coulance' de kosten maar laten vallen, maar daar zijn wel de nodige uren(!!!) aan telefoontjes en mails aan vooraf gegaan. Blijkbaar is dat akkoord niet zo hard nodig.
Ik heb een tijdje gewerkt voor een klantenservice van een mobiel telecom aanbieder en dit kan inderdaad dit kan heel gemakkelijk. Vaak klanten aan de lijn gehad die ongemerkt een abonnement hadden op iets eerder ging het om ringtones wallpapers maar kan ook diensten zijn. Gaat allemaal via sms via Whatsapp ook heel snel gaat veelal via telefoonrekening. De provider gaat we vanuit dat je dat zelf gedaan hebt.
Maar de eerder genoemde payinfo is een hele goeie nakijken of je iets hebt maar uit kunnen uitzetten van de mogelijkheid van abonnementen of betaalde sms.
Als het door de maker van het OS is ingebakken, dan kan elke regel worden omzeild.
Niet alleen dat, er komt ook een bevestiging van de aankoop in het gekoppelde mailaccount.
Kan ook een sms betaaldienst zijn toch? Op android wordt vaak toestemming gevraagd tot sms systeem waarmee dit vrij eenvoudig te regelen is.
Idd. T-mobile heeft dit oa. voor aankopen in de playstore.
KPN, Vodafone en T-Mobile kun je tot 200 euro dacht ik laten betalen via je 06 nummer. Je kan dit overigens laten blokkeren bij je provider en je moet google play ook toestemming geven om dit standaard te doen.

[Reactie gewijzigd door Noresponse op 3 januari 2019 17:20]

Lijkt me dat het via de Play Store wallet of verbonden kaarten dan in rekening werd gebracht. Ik vraag me dan of wie het geld ontving?

Bij het antwoord van TCL krijg ik het gevoel dat ze de ernst van deze situatie niet inzien. En hopelijk raakt het niet ergens in de vergetelheid omdat we nu elke dag wel "louche" praktijken van bedrijven en/of werknemers van die bedrijven zien zoals (on)bewuste datalekken, vergaren van ongeautoriseerde gebruiksinfo, pushen van onnodige diensten, toepassen van gevaarlijke vormen van neuromarketing etc. Zulke zaken moeten op één of andere manier hard worden aangepakt bij elk bedrijf.

[Reactie gewijzigd door Elazz op 3 januari 2019 15:25]

Maar via de Play Store Wallet moet toch gewoon een wachtwoord of vingerafdruk worden ingegeven?

Lijkt me toch raar als een app zomaar een aanmelding kan aanmaken en gelijk akkoord geven voor je Play Store Wallet.
Ik weet niet of dat mogelijk is maar volgensmij heb je "1-click pay" achtige opties in Android dus als dat geactiveerd is en je liet je vingerafdruk of wat dan ook scannen bij de pop up naar de weerapplicatie dan kun je zo voor een onnodige dienst betalen. Als het dan een abonnement is van een paar euro per maand dan kan het wel even duren voordat het je opvalt.

Edit: geen 1 click pay optie maar wel zijn er blijkbaar andere manieren: bijv. Als je instellingen zo staan dat je na een eerste authenticatie van een betaling de volgende 30min dat niet meer hoeft te doen voor alle play store aankopen. Hier kun je een paar manieren vinden om zulke situaties te voorkomen door je instellingen aan te passen.

[Reactie gewijzigd door Elazz op 3 januari 2019 15:38]

Ik had ooit een probleem met de Nokia N900, die vroeg na installatie iets over 'wilt u regelmatig tips en nieuws ontvangen over uw toestel'
Dus ergens een keer ja gedrukt, en vervolgens ging er maandelijks 75ct van mijn telefoon rekening.

Na veel gedoe via VF wel kunnen stoppen, bleken die 'hulp smsjes' betaalde berichten te zijn.
Sindsdien blokkeer ik op mijn abo's betaalservices en nummers .. dure les geweest
75cent per maand kan ik mij moeilijk voorstellen als dure les ;)
Iets waar ik niet om gevraagd heb, maar wel voor moet betalen, vind IK een duur grapje
Met de betaalgegevens uit de Play Store?
Dan moet je daar dus wel een rekening/creditcard aan gekoppeld hebben.
Logisch. Bij mij gaat het trouwens ook automatisch via PayPal. Een vrij groot publiek dus.
Vooral dat stukje 'waarna ze gingen betalen.', ben benieuwd hoe dat in zijn werk gaat. Of hebben ze in b.v. China een betaalmethode direct gekoppeld aan de telefoon/IMEI?
mogelijk direct via de provider. Heb een tijd terug een vergelijkbaar incident gehad. Je kunt bij je provider betalen via je telefoonabbonement blokkeren. Dan ben je beschermd tegen dit soort fraude. Standaard is dat niet geblokkeerd.
En Google haalt die App niet uit de Playstore?
Het is natuurlijk speculeren, maar dit lijkt me het werk van één of enkele malafide medewerkers en/of hackers. Dit is immers dusdanig frauduleus en heeft nagenoeg 100% kans om binnen afzienbare tijd boven water te komen, dat een bedrijf dit nooit bewust zelf zou inbouwen.
In 2015 bleek dat lenovo systemen verkocht met man in the middle software. Installeerde een vals certificaat en kon zo zelfs in https verkeer de verzonden gegevens analyseren en advertenties of erger injecteren.

Lenovo heeft toen bekend dat het een bewuste keuze was om te installeren. Noemde ze een keuze voor betere user experience. Toen het publiek bekend werd paste ze hun keuze pas aan.

In een wereld met verschillende morele opvattingen mag je er vanuit gaan dat ook bedrijven, net als personen, niet altijd de zelfde morele standaard hanteren als klanten of zelfs wetgeving vraagt of eist.
Dank voor het oprakelen, voor mij was dat een onvergeeflijke fout, op het criminele af, en goed voor een lifetime ban van Lenovo produkten. Het maakt me niet uit hoe goed ze hun produkten maken, nooit meer Lenovo.
Precies die casus had ik ook in m'n hoofd, juist omdat het net niet hetzelfde is. Dat was ook een haast crimineel onverantwoordelijke manier van werken, maar kan je met verwrongen moraliteit nog net binnen het business model van het bedrijf zien: controle over het verkeer, analyse en gericht adverteren. Op een super foute manier gedaan, maar het is nog voorstelbaar dat een management dat het niet helemaal begrijpt of zelfs prima vindt, dit goedkeurt.
Terwijl deze casus gaat over het rechtstreeks aftroggelen van geld v.d. consument door een ongevraagd betaald abonnement te activeren* en op de achtergrond iets te doen dat letterlijk algemeen bekend staat als klikfraude. Vooral dat eerste zal een professioneel bedrijf echt nooit vrijwillig doen. Niet per se omdat het moreel fout is, dat interesseert lang niet iedereen, maar omdat het 99,9% zeker uitkomt en onverdedigbaar is.

* Er zijn natuurlijk talloze voorbeelden waarbij bedrijven iets als "gratis" aanprijzen dat dan stiekem over blijkt te gaan in een betaald abonnement, maar dat is toch echt iets anders.
Mijn mening is dat het bedrijf zelf frauduleus is. In de standaard firmware zit ook al spyware zoals Joy Launcher waardoor er dingen zoals een Octopus en Boost meldingen op je scherm komen. Dit begon bij mij na ongeveer een half jaar. Dus heb ik een jaar geleden een custom rom geflashed en daarna nergens meer last van gehad.

Ik wacht nog even een jaar op een nieuwe mid-end telefoon en hoop dat ik het dan toe kan uitzingen met deze budgetsmartphone. Het wordt alleen steeds moeilijker om nog een telefoon te vinden met een vervangbare batterij.
Ik wil overigens ook absoluut niet beweren dat het bedrijf zelf niet verantwoordelijk is.
Het wordt alleen steeds moeilijker om nog een telefoon te vinden met een vervangbare batterij.
Die sterven inderdaad uit. Je kunt straks niet meer anders.
Wat mij betreft krijgt dit bedrijf een boete zo hoog dat ze per direct failliet gaan. Weg. Opgeruimd staat netjes.
Handig voor de concurrenten, even een mannetje binnen sluizen, die via via de klanten op extra kosten kan jagen, om dan via een boete jouw concurrent zien failliet gaan.
Dan investeert dat bedrijf anders maar lekker in een fatsoenlijke quality control. Want dat argument gaat op voor alle fratsen die -grote- bedrijven uithalen "Ja dat waren wij niet, de concurrent zet ons in een kwaad daglicht".
Uiteraard als aangetoond kan worden dat het via een andere fabrikant liept deze ook direkt failliet verklaren en alle medewerkers strafrechtelijk vervolgen op persoonlijke titel. Straffen werkt alleen bij handhaving en de straf moet wel behoorlijk zijn.
Dat is ook overdreven, veel mensen voeren gewoon de opdrachten uit die ze van hun leidinggevenden krijgen.
Tsja, als je baas zegt dat je iemand neer moet schieten ga je dat ook direkt doen?
Ik denk, als dit in een Aziatisch land is, dat ze dit voor een hongerloontje moeten doen. En werk is werk.

Dat zegt trouwens niet dat dit normaal is.
Als het met 1 mannetje (of zelfs met meerdere) lukt om dit soort dingen in het productiebuild te krijgen, verliest het bedrijf alsnog haar bestaansrecht.

Het zou totaal niet mogen dat dit soort dingen door 1 persoon ongemerkt naar productie kunnen worden geloodst. Dus of het nu door 1 of 2 personen gebeurd is of dat het echt de strategie van het bedrijf was, allebei is niet goed te praten.
Dat is de verantwoordelijkheid die je nu eenmaal hebt als bedrijf. Goede controle op alles, checken checken en nogmaals checken. Als je verantwoordelijk bent voor de software op heel veel toestellen dan mag je die verantwoording ook wel nemen.
Dit moet op z'n minst een strafzaak worden. Hebben de advocaten eindelijk echt werk, ipv dat ze zich met patenten bezighouden!
Nouja als zo'n bedrijf "even een mannetje" aanneemt die dit soort zaken in productie kan zetten verdienen ze ook straf.
Zelf heb ik zo'n twee jaar geleden 2 Alcatel Pixi 4 (5) telefoons bij de inmiddels failliete Kijkshop gekocht. Maar daar heb ik een jaar geleden LineageOS op gezet en nu zijn ze ondanks de magere specificaties toch wel redelijk bruikbaar. Met de tweede wil ik de komende tijden een beetje gaan experimenteren om er een moderne Linux kernel op te laten draaien en te kijken of het porten van Android Go mogelijk is.

Dit soort acties van het moederbedrijf is inderdaad triest en ik zou ook geen telefoons meer van ze kopen. Maar ik vraag me af of er nog meer merken van goedkope telefoons zijn die spyware meeleveren en of de bekendere merken zoals Xiaomi en Huawei wel gevrijwaard zijn van zulke problemen. Wat ik in ieder geval wel weet is dat ik geen telefoon van TCL meer koop.
Wat mij betreft krijgt dit bedrijf een boete zo hoog dat ze per direct failliet gaan. Weg. Opgeruimd staat netjes.
Dat is me wat al te drastisch, maar je mag toch op z'n minst hopen dat ze per direct uit de Play store worden gekieperd, en er niet zomaar in terug mogen.
Heb zelf een Alcatel/TCL telefoon gehad, de Idol 3. Goeie telefoon, veel bang for buck. Toen werd de telefoon ouder en hielden updates op.. Daarna spontaan wat Chinese bloadware apps gepushed. Daarna een update voor standaard meegeleverde housekeeping apps, die te pas en te onpas allerlei spammy popups gaven. Zoals bijvoorbeeld de built in filemanager:

https://www.reddit.com/r/...nager_spam_notifications/

Dat was voor mij de druppel. Kort daarna een custom rom geflashed (Resurrection Remix) en de telefoon een 2e leven gegeven bij iemand anders. Hardware prima, software en het bedrijf erachter.. Not so much.
In de Google Play Store heb ik voor Joy Launcher een 1-ster recensie geschreven met de aanbeveling om een custom rom te installeren. Die mensen van TCL begonnen daarna te smeken om er 5 sterren van te maken. Dat ga ik natuurlijk nooit doen.
Dit gaat wel heel ver, een app die web-paginas opent op de achtergrond en nog zelf op dingen gaat klikken, ik vind dat dit onder garantie moet vallen en iedereen met zo'n telefoon ze geld terug mag krijgen.
Ik vind eigenlijk ook wel dat google wat scherper mag zijn. Het is niet heel moeilijk om een deel van dit soort gedrag in apps te detecteren, dat kan prima geautomatiseerd worden door google en dan ook gehandhaafd.
Er zijn nogal wat apps die veel meer doen dan wat je kan en mag verwachten op basis van de toestemmingen die gevraagd worden.
Je hebt al Google Play Protect, alleen zal die app wel uitgezonderd zijn van de scan.
Leuk... nu moet ik niet alleen gaan kijken welke bedrijf de "dienst-na-verkoop" doet maar ook welke louche fabrikant maakt het spul. Alsof ik nog nog niet genoeg werk heb met uit te zoeken welke dubieuze rotfirma (Dynafix) de herstellingen doet aan phone x of y. :-(

Bij mij is het simpel als Solid Vision of DynaFix de herstelling doet van merk x dan koop ik die phone niet!
Nu komt daar ook TCL bij >:->
ik ken solid vision niet wat is dat eigenlijk?
Solid Vision was vroeger de Nokia-appointed hersteller voor toestellen in de Benelux.
NOG slechter dan Dynafix. De idioten daar konden niets repareren zonder iets anders kapot te maken.

Bv. je brengt je GSM binnen voor een scherm-reparatie, je krijgt hem terug maar alle knoppen (aan/uit, volume etc...) werken niet meer!

Zo van die shit!
Ik denk (hoop) dat die gasten ondertussen failliet zijn.
Alcatel/TCL heeft wel vaker van dit soort problemen gehad met apps op hun toestellen, bijvoorbeeld deze: https://www.androidauthor...lery-app-replaced-833736/

Na een update is de gallerij app vervangen door een andere app vol met advertenties.
Ik heb een Alcatel telefoon, heel veel waar voor zijn geld. Helaas kan ik deze app niet verwijderen, wel stoppen.
Ach als de Chinezen blij zijn met de registratie van mijn wandelingen prima toch, de Amerikanen kijken waarschijnlijk mee met Fitbit en Strava. :-)

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee