Bir süre önce, bir mobil güvenlik araştırmacısı on milyonlarca cep telefonunda satış öncesinde yüklü olarak gelen bir uygulamanın tüm kullanıcı davranışlarını kaydettiği iddiasında bulundu [1]. Sonrasında ise CarrierIQ adlı bu yazılım medyada geniş ilgi uyandırdı ve adeta bir CarrierIQ çılgınlığı başladı. Biz de turk-internet.com olarak bu yazılımın hangi cep telefonlarında bulunduğuyla ilgili bir haber yayınlamıştık [2]. Bugün ise bir uzman gözünden bu yazılımın neler yaptığını aktarıyor olacağız.
Smartphone cihazlar yani akıllı cep telefonları özellikle son 1,5 yıl içinde adeta patlama yaptılar. Cep telefonu üreten tüm firmalar, bu yeni segmente odaklanmış durumdalar. Smartphone cihazların, örneğin çok daha kolay ve hızlı bir internet deneyimi yaşamak gibi, kullanıcılara sağladığı pek çok fayda var. Ancak bu telefonların, bir başka faydası da pazarlama işini tamamen farklı bir boyuta taşımaları.
Smartphone cihazlara sahip kullanıcıların lokasyon verileri, mobil internet kullanım alışkanlıkları ve mobil ticarete olan yatkınlıkları pek çok firma için son derece kıymetli veriler. Bu verilerin bir kısmı, kullanıcılara ait kişisel veriler olarak görülüyor ve mahrem bilgiler oldukları için 3. şahıs şirketlerle paylaşılmıyor (en azından operatörler bu iddiada). Ancak anonim olarak oluşturulan verilerin pazar araştırmaları yapan firmalarla bir şekilde paylaşıldığı bilinen bir gerçek. Bu noktada, pazarlamacılar için son derece kritik olan bu verileri kimin nasıl topladığı sorusu merak uyandırıyor.
CarrierIQ vakasının [1] ortaya çıkışı sonrasında medyada bu konuda pek çok haber yayınlandı. Ancak öncelikle belirtmeliyiz ki, veri toplama işinde kimlerin hangi veri parçacıklarını nasıl topladığı konusunda kamuoyunu yanlış yönlendiren bilgiler mevcut. CarrierIQ, ölçüt (veya metrik) olarak tanımlanan bilgiyi kabul eden bir telefon yazılımıdır. Bu yazılım, cep telefonundan metrik çekerken cihazda kurulu olan profili temel alarak o ölçütün ilgi çekici olup olmadığını sorgular.
Burada bahsi geçen profiller ise bir bilginin telefonculuk hizmetinin herhangi bir bölümüyle (radyo yayını veya şarj kullanımı gibi) ilgili olup olmadığını belirlemektedir. Bu profiller, cep telefonu taşıyıcılarının isteğiyle CarrierIQ tarafından yazılmıştır. Yani CarrierIQ yazılımı, cep telefonu firmalarının ve taşıyıcıların kendisinden istediği verileri bir profil kapsamında cihazdan çeken bir yazılımdır. Unutmamak gerekir ki, CarrierIQ bu ölçütleri alır, toplar ve sonunda taşıyıcılar tarafından analiz edilmesi için ham veri şeklinde yükler.
Analizlerden çıkan sonuçlara göre;
- Telefon üreticileri istese de, CarrierIQ yazılımı kısa mesaj içeriklerini, web sayfası içeriklerini veya e-mail içeriklerini kaydedemez. Bu bilgiyi içeren bir ölçüt yoktur.
- CarrierIQ, (belirli telefonlarda) hangi çevirme tuşlarına basıldığını, aramanın nereye olduğunu tespit etmek adına kaydedebilir. Bu noktada CarrierIQ’nun mu yoksa bu bilgiyi yazılımdan isteyen cep telefonu operatörlerinin mi suçlanması gerekeceği apayrı bir konu.
- CarrierIQ (belirli telefonlarda) bu tuş vuruşları hariç başka tuşları çevirme tuşlarına basılarak tuşlanan bilgiyi kaydedemez.
- CarrierIQ bazı durumlarda, GPS lokasyon bilgisini rapor edebilir.
- CarrierIQ ziyaret edilen URL’leri kaydedebilir (HTTP kaynakları dahil) ancak bu sayfalarında veya HTTP verilerinde olan içeriği kaydetmez.
Bu noktada, durumu daha iyi kavramak için bir başka güvenlik araştırmacısı olan Dan Rosenberg’in CarrierIQ yazılımı için Samsung Epic 4G Touch telefonu ile yaptığı analize göz atıyoruz. Bu analizi tablo halinde buraya tıklayarak görebilirsiniz.
[1]- Kullanıcıların Her Hamlesini Takip Eden Mobil Uygulama İddiası Giderek Ciddileşiyor –