İspanya’daki IMDEA Ağ Enstitüsü’nde görev yapan araştırmacılar, Meta ve Yandex’in Android cihazlarda çalışan uygulamaları aracılığıyla kullanıcıların kimlik bilgilerine gizlice eriştiğini ortaya koydu. Yeni araştırmaya göre bu şirketler, kullanıcılar internette gizli sekmede gezinirken dahi veri toplamaya devam etti.
Araştırmacılar: Kimlik tespiti gizli modda da mümkün oldu
Hazırlanan rapora göre Meta (Facebook ve Instagram’ın sahibi) ile Rus teknoloji devi Yandex, Android kullanıcılarını mobil uygulamaları üzerinden takip etti. Üstelik bu takip, kullanıcılar “gizli sekme” modunda internette gezinseler dahi sürdü ve kimlikleriyle ilişkilendirilebildi.
Araştırmacılar, bu ihlalin yalnızca Android platformunda tespit edildiğini belirtse de, iOS kullanıcılarının da benzer şekilde hedef alınabileceği uyarısında bulundu.
Takip Meta Pixel ve Yandex Metrica ile yapıldı
Meta ve Yandex’in bu işlemi, yaygın olarak kullanılan analiz araçları Meta Pixel ve Yandex Metrica aracılığıyla gerçekleştirdiği belirtildi. Genellikle reklam performansını ölçmek için kullanılan bu araçlar, sırasıyla 5,8 milyon ve 3 milyon internet sitesinde yer alıyor.
Ancak araştırma, bu araçların kötüye kullanıldığını gösterdi. Araçlar, Android cihazlardaki tarayıcılardan (örneğin Chrome) toplanan kullanıcı verilerini, “localhost” üzerinden ilgili şirketlerin uygulamalarına (Facebook, Instagram, Yandex vb.) aktardı. Normalde tarayıcılar ve uygulamalar arasında bilgi paylaşımını engelleyen güvenlik önlemleri bu sistemle aşıldı.
Sandbox güvenliği ihlal edildi
Android işletim sisteminde uygulamalar arasında veri sızıntısını önleyen “sandbox” adı verilen güvenlik duvarı, bu takip mekanizmasında işlevsiz hale getirildi. Meta ve Yandex, bu engeli aşarak tarayıcıda toplanan verileri doğrudan kendi uygulamalarına yönlendirdi. Böylece örneğin, kullanıcı Chrome tarayıcısında gizli modda gezinirken bile verileri uygulamalardaki hesaplarıyla eşleştirilebildi.
İhlal adım adım nasıl işledi?
Araştırmaya göre izleme şu şekilde gerçekleşti:
Kullanıcı, Android cihazında Facebook, Instagram veya Yandex gibi bir uygulamada oturum açıyor.
Aynı cihazda bir tarayıcı üzerinden (örneğin Chrome) internette geziniyor.
Meta Pixel veya Yandex Metrica’yı içeren bir web sitesine giriyor.
Bu siteler, kullanıcıdan topladıkları verileri ilgili mobil uygulamalara iletiyor.
Uygulamalar bu verileri mevcut hesaplarla eşleştirerek kullanıcı kimliğini tespit edebiliyor.
İzleme gizli sekmede de devam ediyor ve kullanıcıya herhangi bir uyarı yapılmıyor.
Anonimliğin sonu: Gizli sekme yeterli değil
Araştırma, gizli sekme, çerez temizleme ya da reklam engelleyici gibi yöntemlerle anonim kalmaya çalışan kullanıcıların aslında cihazlarındaki uygulamalar yüzünden takip edilebildiğini gözler önüne serdi. Tarayıcı geçmişi silinse bile, veriler çoktan uygulamalara aktarılmış oluyor.
Google’dan açıklama geldi
İhlalin gündeme gelmesinin ardından Android’in sahibi Google’dan açıklama geldi. Şirket sözcüleri, bu uygulamanın Google Play Store politikaları ve kullanıcıların gizlilik beklentileriyle bağdaşmadığını belirtti. Meta ve Yandex ise konuyla ilgili iç soruşturmalar başlattıklarını ve ilgili veri toplama süreçlerinin durdurulduğunu duyurdu.
