Depuis quelque temps, en naviguant (sites SFW, nouvelles, blogs etc.), le navigateur de mon téléphone - chrome me redirige parfois vers des pages étranges me demandant d'aller plus loin si je suis un adulte, ce que je n'ai jamais fait. C'était plutôt ennuyeux, mais comme cela ne se produisait pas tout le temps, je l'ai ignoré. Dernièrement, j'ai découvert que si je clique accidentellement sur un bouton de ce site, il envoie des sms coûteux. Heureusement, j'ai bloqué ce genre de possibilité avec mon opérateur, mais je suis un peu étonné de voir comment c'est possible. Est-ce que Android Lollipop (non rooté) permet d'envoyer des SMS depuis un navigateur sans demander de confirmation ? D'ailleurs, il n'y a aucune trace de cela sur mon téléphone. Seule la réponse de l'opérateur est qu'il ne peut pas répondre à ma demande, car je l'ai bloquée.
Réponses
Trop de publicités?
On dirait qu'ils ont essayé de vous forcer à envoyer des SMS par le biais d'un opérateur télécom véreux qui consiste essentiellement à voler de l'argent par le biais de SMS.
Cet exploit, ce n'est pas forcément hors de question. Il n'y a pas si longtemps, un article expliquait comment on pouvait "jailbreaker" un iPhone en cliquant sur un lien. Les vulnérabilités sont différentes, cependant, et je ne suis pas vraiment sûr qu'ils parviennent à trouver une faille permettant d'envoyer un message texte.
Idéalement, vous devriez essayer de mettre à jour vers Android Marshmallow ou Nougat (lorsqu'il sera lancé pour de bon), ou une version équivalente de Cyanogenmod, afin de pouvoir contrôler vos applications permission par permission.
Je ne peux pas dire que c'est une réponse explicite à la question de savoir si c'est possible ou non. Au mieux, vous avez trouvé un exploit qui a déjà été corrigé. Au pire, vous avez trouvé un exploit non corrigé qui a été exploité.
J'ai découvert ce qui se passe vraiment. Certains opérateurs permettent de s'inscrire à certains "services premium" via le WAP. Ils utilisent l'autorisation de votre réseau pour autoriser la demande. Dans ce genre de situation, il vous suffit de cliquer sur le lien (qui est bien sûr caché) et voilà, vous êtes inscrit à un service coûteux. A moins que vous ne bloquiez ce genre de services premium, ce qui était heureusement mon cas. Quoi qu'il en soit, les informations fournies par le système de l'opérateur sont plutôt trompeuses, et vous pouvez donc penser (ainsi que le centre d'appels de l'opérateur) qu'il pourrait s'agir d'un sms envoyé depuis votre téléphone. Il n'y a donc pas eu de sms envoyé à mon insu via le navigateur.
