Meta (Facebook/Instagram) ve Yandex (Rus teknoloji devi), kullanıcıların web tarama verilerini gerçek kimliklerine bağlamak için Android’in gizlilik korumalarını aştıkları bulundu. İspanyol şirketi IMDEA Networks’ün İnternet Analiz grubu tarafından ortaklaşa yürütülen uluslararası bir araştırma, milyonlarca Android cihaz kullanıcısının gizliliğini ciddi şekilde tehlikeye atan endişe verici bir dijital izleme tekniğini ortaya çıkardı.
Meta (Facebook ve Instagram) ve Rus teknoloji şirketi Yandex’in, Android kullanıcılarının web tarama verilerini gizlice takip ederek kullanıcıları anonimliğini ortadan kaldıran bir yöntem kullandılar. Bu yöntem, kullanıcıların gizlilik ayarlarını aşarak, tarayıcıdaki anonim web kimliklerini mobil uygulamalardaki kullanıcı hesaplarıyla ilişkilendirmeyi mümkün kıldı.
Narseo Vallina-Rodríguez (IMDEA Networks), Güneş Acar (Radboud Üniversitesi, Hollanda) ve Tim Vlummens (Université Catholique de Louvain, Belçika) liderliğindeki araştırma, Facebook, Instagram ve Rusya’nın Yandex tarafından geliştirilen birkaç uygulama (Haritalar, Navigasyon, Tarayıcı ve Arama dahil) gibi yerel mobil uygulamaların arka planda çalışan yerel web sunucularını kullandığını tespit etti. Bu sunucular, Android işletim sisteminin İnternet erişim izniyle etkinleştirilen bir özelliğinden yararlanarak cihazdaki belirli yerel bağlantı noktalarını dinliyor.
Bu yerel kanal, Meta (Meta Piksel) ve Yandex (Yandex Metrica) izleme hizmetlerini entegre eden web sitelerinden gönderilen tarama tanımlayıcılarını almak için kullanılıyor. Bu mekanizma aracılığıyla, mobil tarama alışkanlıklarını bu uygulamalardaki oturum açmış kullanıcının kalıcı kimliğine bağlamak mümkün; bu, hem standart Android korumalarını, hem de tarayıcı gizli mod özelliklerini aşan bir tür çapraz platform izlemeyi temsil eder.
Meta ve Yandex tarafından kullanılan izleme teknikleri farklılık gösterse de sonuçlar benziyor. IMDEA Networks’te doktora öğrencisi ve çalışmanın ortak yazarı olan Aniketh Girish’e göre,
“Meta’nın pikseli, tarayıcı tanımlayıcılarını Facebook veya Instagram gibi uygulamalarla paylaşmak için WebRTC kanallarını kullanıyor. Bu veriler kullanıcının etkin hesabına bağlanıyor ve sessizce Meta’nın sunucularına iletiliyor.”
Yandex ise daha ihtiyatlı bir yaklaşım sergiliyor. Birden fazla tescilli uygulamaya entegre edilmiş AppMetrica geliştirme kiti, Yandex Metrica çalıştıran web sitelerinden gelen iletişimleri dinleyen yerel bir sunucu kuruyor . Araştırmaya katılan doktora öğrencisi Nipuna Weerasekara’ya göre,
“Yandex dinleme portlarını dinamik olarak yapılandırıyor, hatta uygulama yüklendikten sonra üç güne kadar aktivasyonlarını geciktiriyor. Bu teknik, kötü amaçlı yazılımların tespit edilmekten kaçınmak için kullandıkları stratejilere benziyor.”
Bu tasarım, Yandex’in Chrome gibi karşı önlem olarak belirli yerel portlara erişimi sınırlamayı planlayan tarayıcılar tarafından uygulanacak olası engellemelerden kaçınmasına olanak sağlıyor.
Bu izleme sisteminin erişim alanı oldukça geniş olduğu belirtiliyor. Meta Pixel’in 5,8 milyon web sitesinde mevcut olduğu tahmin edilirken, Yandex Metrica’nın 3 milyon web sitesinde daha mevcut olduğu tahmin edilmektedir. Bu büyük çaplı yayılım nedeniyle, kullanıcıların çevrimiçi davranışlarının , özellikle de bu mekanizmaların etkin olduğu doğrulanan tek sistem olan Android’de bir hayli geniş alana yayılmış.
Bu tür takiplerin açık rıza olmaksızın ve kullanıcıların bilgisi dışında gerçekleştirilmesi, Avrupa GDPR veya diğer bölgelerdeki benzer yasalar gibi veri koruma düzenlemelerine uyum konusunda soruna yol açacak.
Araştırma ekibinin verdiği bilgiye göre, birçok tarayıcı geliştiricisi çözüm üzerinde çalışıyor ve Meta bugün bu sistemi devre dışı bıraktı. Google Chrome ise bu tür suistimalleri önlemek için yerel portlara erişimi sınırlayacak bir güncelleme planlıyor. DuckDuckGo ise ürünlerine düzeltmeler uyguladı .
Ancak Vallina-Rodríguez’in de belirttiği gibi, teknik çözümler tek başına yeterli değil:
“Sorunun özü, yerel ana bilgisayar iletişimleri üzerinde etkili kontrollerin olmamasıdır. Bu tür davranışları önlemek için daha katı platform politikaları ve daha titiz uygulama mağazası incelemeleri olmalıdır.”
Profesör Güneş Acar ayrıca, ilgili şirketlerin şeffaflık eksikliğinden endişe duyduğunu söylüyor :
“Meta, izleme pikselini kullanarak web sitesi sahiplerini bu davranış hakkında bilgilendirmekle kalmadı, aynı zamanda geliştiriciler şüpheli yerel bağlantılar fark etmeye başladıklarında sorularını da görmezden geldi”
Nasıl Çalışıyor?
Google, WebView sızıntılarını düzeltmede yavaş. Meta/Yandex ise veri toplamada yasal gri alanları istismar ediyor.
Facebook ve Yandex Browser gibi uygulamalar web sitelerine benzersiz JavaScript belirteçleri enjekte ediyor. Bu belirteçler, oturumlar arasında izleme sağlayan “süper çerezler” gibi davranıyor. Meta/Yandex, kullanıcı profillerini yeniden oluşturmak için IP adreslerini, cihaz bilgilerini ve tarama alışkanlıklarını birleştiriyor. Google Reklam Kimliğinizi (GAID) sıfırlasanız bile, sizi yeniden tanımlayabiliyorlar.
Araştırmacılar, Meta Pixel ve Yandex Metrica gibi izleme kodlarının, Android cihazlarda yüklü olan Facebook, Instagram ve Yandex uygulamalarıyla iletişim kurmak için “localhost” bağlantılarını kullandığını keşfettiler. Bu bağlantılar aracılığıyla, web tarayıcısında oluşturulan çerezler ve diğer izleyiciler, doğrudan mobil uygulamalara iletilerek, kullanıcıların web tarama alışkanlıklarıyla uygulama kimlikleri eşleştirildi. Bu süreç, Android’in güvenlik önlemlerini ve tarayıcıların gizlilik modlarını etkisiz hale getiriyor.
Bu yöntem, kullanıcıların izni olmadan web tarama verilerini topladı ve kişisel hesaplarla ilişkilendirdi. Kullanıcılar, gizli modda veya VPN kullanarak bile bu izlemelerden korunamıyor. Bu tür bir izleme, kötü niyetli uygulamaların da benzer yöntemlerle kullanıcı verilerine erişmesine olanak tanıyabilir.
Facebook, Instagram ve Yandex gibi uygulamaları cihazınızdan kaldırarak bu tür izlemeleri engelleyebilirsiniz. Brave veya DuckDuckGo gibi tarayıcılar, bu tür izlemelere karşı daha güçlü koruma sağliyor. İşlemlerinizi mümkünse, uygulamalar yerine web sitelerini kullanarak gerçekleştirin. Tarayıcılarınızın gizlilik ve güvenlik ayarlarını kontrol ederek, izleyicilere karşı ek önlemler alabilirsiniz.
Kaynak : 