Yeni bir araştırma Meta ve Yandex’in uygulamalarının, Android kullanıcıları arka planda izlediğini ve kimliklerini gizli sekmede bile elde ettiğini ortaya koydu.
İspanya’daki IMDEA Ağ Enstitüsü’nden araştırmacılar, Meta ve Yandex’in Android cihazlardaki mobil uygulamaları aracılığıyla kullanıcıların kimliklerini tespit ettikleri ciddi bir ihlal gerçekleştirdiğini ortaya çıkardı. Araştırmacıların hazırladığı raporda söz konusu iki internet şirketinin, Android kullanıcılarının internetteki aktivitelerini aylardır gizlice izlediği, üstelik kullanıcılar gizli sekme açsa bile kimliklerini bulabildiği ifade edildi. Söz konusu ihlal yalnızca Andorid’de gerçekleşmiş olsa da araştırmacılar iOS işletim sistemini kullananların da benzer şekilde hedef alınabileceğini söylüyor. Söz konusu iki şirketin bu ihlali Meta Pixel ve Yandex Metrica adlı takip araçlarıyla gerçekleştirdiği belirtiliyor. İHLAL NASIL GERÇEKLEŞTİ? Meta Pixel ve Yandex Metrica, internet sitelerine reklamveren kişilerin, reklamlarının etkinliğini ölçmelerine yardımcı olmak için tasarlanmış analiz araçlarıdır. Ars Technica’ya göre, Meta Pixel ve Yandex Metrica'nın sırasıyla 5,8 milyon ve 3 milyon siteye yüklendiği tahmin ediliyor. Bu iki aracın temel amacı, kullanıcı davranışlarını izlemek ve reklam performanslarını ölçmek. Ancak bu örnekte kötüye kullanıldıkları anlaşıldı. Bu araçların Android cihazlardaki kullanıcıların kimliklerini gizlice tespit edebildiği ve örneğin Chrome gibi internet tarayıcılarının normalde güvenlik nedeniyle uygulamalarla paylaşmaması gereken bilgileri, “localhost” (bir programın üzerinde çalıştığı cihazın kimliği ve IP adresi) üzerinden kendi uygulamalarına (Facebook, Instagram, Yandex vb.) gizlice ilettiği öğrenildi. GÜVENLİK DUVARI AŞILDI Söz konusu ihlalde tarayıcılar ve uygulamalar arasındaki güvenlik duvarı aşıldı. “Sandbox” adı verilen güvenlik duvarı aslında uygulamaları birbirinden ayıran bir izolasyon sistemi. Örneğin bu duvarlar, bir alışveriş sitesi ile banka sitesi aynı anda açıksa, birinin diğerinin oturum bilgilerine erişememesini sağlıyor. Veya kullanıcının WhatsApp uygulamasının, aynı cihazdaki Facebook uygulamasının dosyalarına erişmesini engelliyor. Çünkü bu uygulamalardan her biri kendi sandbox’unda çalışıyor. Bu ihlalde Sandbox adlı güvenlik duvarının aşılmasıyla Meta ve Yandex, tarayıcıda elde ettikleri kullanıcıya özel çerez bilgilerini, Android cihazlardaki kendi uygulamalarına gönderebildi. Bu sayede, örneğin Chrome’daki herhangi bir sitede gezinen kullanıcının kimlik bilgilerinden ayrıştırılmış verileri, Facebook, Instagram ya da Yandex uygulamasına giriş yapmış gerçek hesapla eşleştirilebildi. ADIM ADIM İHLALİN İÇ YÜZÜ Yani bir kullanıcı, Android cihazınıza Instagram'ı yükledikten sonra orada bir kez oturum açtığında, Meta Pixel'in yerleştirilmiş olduğu milyonlarca web sitesinden herhangi birine girerse komut dosyası toplanan tüm bilgileri uygulamaya geri gönderiyor. Böylece Meta, kullanıcının gezintisinden yola çıkarak kimliğini açık eden verilere sahip oluyor. Bütün bu süreç şu adımlarla işliyor: - Kıllanıcı Facebook veya Yandex uygulamalarına giriş yapmıştır. - Chrome veya başka bir tarayıcıda gezinmektedir. - Söz konusu uygulamalar, kullanıcının tarayıcıda ne yaptığını arka planda gizlice izler. - Hangi siteye girdiği, ne okuduğu, ne aradığı gibi veriler, kullanıcının uygulamadaki hesaplarıyla eşleştirilir. - Bu izleme gizli modda bile çalışır. - Bu takip kullanıcıya hiçbir uyarı vermeden, tarayıcının ve Android’in güvenlik sınırlarını aşarak yapılır. KENDİLERİNİ ANONİM ZANNETTİLER Tüm bu ihlal aynı zamanda, gizli sekme kullanan, çerezleri temizleyen veya reklam engelleyici kullanan kişilerin kendilerini anonim zannettiği sırada cihazındaki uygulamalar nedeniyle anonimliğinin tamamen ortadan kalkması anlamına geliyor. Gizli sekme normalde, kullanıcı tarayıcı kapattığında çerezleri, geçmişi ve oturum bilgilerini siliyor. Böylece kullanıcıyı anonim hâle getirmeye çalışıyor. Ama bu olayda, Meta ve Yandex’in kodları, tarayıcıdaki silinecek bilgileri zaten Android uygulamalarına göndermiş oluyor. Bu veri, cihazdaki Facebook, Instagram veya Yandex uygulamasına iletiliyor. GOOGLE’DAN AÇIKLAMA Android’in sahibi Google'ın sözcüleri ihlalin ortaya çıkmasının ardından yaptıkları açıklamada, söz konusu davranışın uygulama mağazası Play Store’un hizmet şartlarını ve Android kullanıcılarının gizlilik beklentilerini ihlal ettiğini belirtti. Yandex ve Meta’dan yapılan açıklamalarda ise uygulamanın durdurulduğu ve konuyla ilgili soruşturmalar başlatıldığı ifade edildi.
Kaynak : NTV