İspanya’daki IMDEA Ağ Enstitüsü’nden araştırmacılar, Meta ve Yandex’in Android aygıtlardaki taşınabilir uygulamaları aracılığıyla kullanıcıların kimliklerini tespit ettikleri önemli bir ihlal gerçekleştirdiğini ortaya çıkardı.
Araştırmacıların hazırladığı raporda kelam konusu iki internet şirketinin, Android kullanıcılarının internetteki aktivitelerini aylardır gizlice izlediği, üstelik kullanıcılar zımnî sekme açsa bile kimliklerini bulabildiği söz edildi.
Söz konusu ihlal sırf Andorid’de gerçekleşmiş olsa da araştırmacılar iOS işletim sistemini kullananların da misal biçimde gaye alınabileceğini söylüyor.
Söz konusu iki şirketin bu ihlali Meta Pixel ve Yandex Metrica isimli takip araçlarıyla gerçekleştirdiği belirtiliyor.
İHLAL NASIL GERÇEKLEŞTİ?
Meta Pixel ve Yandex Metrica, internet sitelerine reklamveren şahısların, reklamlarının aktifliğini ölçmelerine yardımcı olmak için tasarlanmış tahlil araçlarıdır. Ars Technica’ya nazaran, Meta Pixel ve Yandex Metrica’nın sırasıyla 5,8 milyon ve 3 milyon siteye yüklendiği varsayım ediliyor. Bu iki aracın temel hedefi, kullanıcı davranışlarını izlemek ve reklam performanslarını ölçmek. Lakin bu örnekte berbata kullanıldıkları anlaşıldı.
Bu araçların Android aygıtlardaki kullanıcıların kimliklerini gizlice tespit edebildiği ve örneğin Chrome üzere internet tarayıcılarının olağanda güvenlik nedeniyle uygulamalarla paylaşmaması gereken bilgileri, “localhost” (bir programın üzerinde çalıştığı aygıtın kimliği ve IP adresi) üzerinden kendi uygulamalarına (Facebook, Instagram, Yandex vb.) gizlice ilettiği öğrenildi.
GÜVENLİK DUVARI AŞILDI
Söz konusu ihlalde tarayıcılar ve uygulamalar ortasındaki güvenlik duvarı aşıldı. “Sandbox” ismi verilen güvenlik duvarı aslında uygulamaları birbirinden ayıran bir izolasyon sistemi. Örneğin bu duvarlar, bir alışveriş sitesi ile banka sitesi tıpkı anda açıksa, birinin oburunun oturum bilgilerine erişememesini sağlıyor. Yahut kullanıcının WhatsApp uygulamasının, tıpkı aygıttaki Facebook uygulamasının evraklarına erişmesini engelliyor. Zira bu uygulamalardan her biri kendi sandbox’unda çalışıyor.
Bu ihlalde Sandbox isimli güvenlik duvarının aşılmasıyla Meta ve Yandex, tarayıcıda elde ettikleri kullanıcıya özel çerez bilgilerini, Android aygıtlardaki kendi uygulamalarına gönderebildi. Bu sayede, örneğin Chrome’daki rastgele bir sitede gezinen kullanıcının kimlik bilgilerinden ayrıştırılmış dataları, Facebook, Instagram ya da Yandex uygulamasına giriş yapmış gerçek hesapla eşleştirilebildi.
ADIM ADIM İHLALİN İÇ YÜZÜ
Yani bir kullanıcı, Android aygıtınıza Instagram’ı yükledikten sonra orada bir kere oturum açtığında, Meta Pixel’in yerleştirilmiş olduğu milyonlarca web sitesinden rastgele birine girerse komut belgesi toplanan tüm bilgileri uygulamaya geri gönderiyor. Böylelikle Meta, kullanıcının gezintisinden yola çıkarak kimliğini açık eden bilgilere sahip oluyor. Bütün bu süreç şu adımlarla işliyor:
– Kıllanıcı Facebook yahut Yandex uygulamalarına giriş yapmıştır.
– Chrome yahut diğer bir tarayıcıda gezinmektedir.
– Kelam konusu uygulamalar, kullanıcının tarayıcıda ne yaptığını art planda gizlice izler.
– Hangi siteye girdiği, ne okuduğu, ne aradığı üzere bilgiler, kullanıcının uygulamadaki hesaplarıyla eşleştirilir.
– Bu izleme kapalı modda bile çalışır.
– Bu takip kullanıcıya hiçbir ikaz vermeden, tarayıcının ve Android’in güvenlik sonlarını aşarak yapılır.
KENDİLERİNİ ANONİM ZANNETTİLER
Tüm bu ihlal tıpkı vakitte, bâtın sekme kullanan, çerezleri temizleyen yahut reklam engelleyici kullanan bireylerin kendilerini anonim zannettiği sırada aygıtındaki uygulamalar nedeniyle anonimliğinin büsbütün ortadan kalkması manasına geliyor.
Gizli sekme olağanda, kullanıcı tarayıcı kapattığında çerezleri, geçmişi ve oturum bilgilerini siliyor. Böylelikle kullanıcıyı anonim hâle getirmeye çalışıyor. Lakin bu olayda, Meta ve Yandex’in kodları, tarayıcıdaki silinecek bilgileri esasen Android uygulamalarına göndermiş oluyor. Bu bilgi, aygıttaki Facebook, Instagram yahut Yandex uygulamasına iletiliyor.
GOOGLE’DAN AÇIKLAMA
Android’in sahibi Google’ın sözcüleri ihlalin ortaya çıkmasının akabinde yaptıkları açıklamada, kelam konusu davranışın uygulama mağazası Play Store’un hizmet koşullarını ve Android kullanıcılarının zımnilik beklentilerini ihlal ettiğini belirtti.
Yandex ve Meta’dan yapılan açıklamalarda ise uygulamanın durdurulduğu ve hususla ilgili soruşturmalar başlatıldığı tabir edildi.
