İspanya’daki Kullanıcı Verileri İhlali
İspanya’daki IMDEA Ağ Enstitüsü’nden yapılan araştırmalar, Meta ve Yandex‘in Android cihazlar üzerindeki mobil uygulamaları aracılığıyla kullanıcıların kimliklerini tespit ettiğini ortaya koydu. Bu durum, ciddi bir gizlilik ihlali olarak değerlendiriliyor ve kullanıcıların internetteki aktivitelerinin gizlice izlendiği anlamına geliyor. Araştırmacılar, bu izlemelerin gizli sekmede bile gerçekleştiğini, dolayısıyla kullanıcıların kendilerini korumaya çalıştığı durumlarda bile verilerinin ele geçirildiğini belirtiyor.
İhlalin Boyutu ve Kapsamı
Bu ihlal, yalnızca Android kullanıcılarını değil, aynı zamanda iOS kullanıcılarını da etkileyebilecek potansiyel bir tehdit olarak öne çıkıyor. Meta Pixel ve Yandex Metrica adlı takip araçları aracılığıyla gerçekleştirilen bu ihlal, kullanıcıların kimliklerinin gizlice tespit edilmesine olanak tanıyor. Araştırma sonuçlarına göre, Meta Pixel ve Yandex Metrica’nın sırasıyla 5,8 milyon ve 3 milyon internet sitesine entegre edildiği tahmin ediliyor.
İhlalin Mekanizması
Meta Pixel ve Yandex Metrica, reklam verenlerin reklam etkinliklerini ölçmelerine yardımcı olmak amacıyla tasarlanmış analiz araçlarıdır. Ancak bu araçların kötüye kullanılması, kullanıcıların davranışlarının izlenmesine ve kimlik bilgilerinin açığa çıkmasına yol açtı. Örneğin, Android cihazlarda kullanıcıların kimliklerini gizlice tespit eden bu araçlar, Chrome gibi internet tarayıcılarının güvenlik nedeniyle uygulamalarla paylaşmaması gereken bilgileri, “localhost” üzerinden kendi uygulamalarına iletebiliyor.
Güvenlik Duvarının Aşılması
Bu ihlal, tarayıcılar ve uygulamalar arasındaki güvenlik duvarının aşılmasını sağladı. “Sandbox” adı verilen bu güvenlik sistemi, uygulamaların birbirlerinden izole bir şekilde çalışmasını sağlıyor. Örneğin, bir alışveriş sitesi ile bir banka sitesi aynı anda açıksa, birinin diğerinin oturum bilgilerine erişimi engelleniyor. Ancak bu ihlal, Meta ve Yandex’in tarayıcıda elde ettikleri kullanıcıya özel çerez bilgilerini, Android cihazlardaki kendi uygulamalarına göndermesine olanak tanıdı.
Adım Adım İhlalin Detayları
Bir kullanıcının Android cihazında Instagram uygulamasını yüklemesi, ihlalin nasıl gerçekleştiğini anlamamıza yardımcı oluyor. Kullanıcı Instagram’a giriş yaptıktan sonra, Meta Pixel’in yerleştirildiği herhangi bir web sitesine girdiğinde, toplanan tüm bilgiler arka planda uygulamaya geri gönderiliyor. Bu süreç şu adımlarla ilerliyor:
- Kullanıcı Facebook veya Yandex uygulamalarına giriş yapmıştır.
- Chrome veya başka bir tarayıcıda gezinmektedir.
- Söz konusu uygulamalar, kullanıcının tarayıcıda ne yaptığını gizlice izler.
- Kullanıcının hangi siteye girdiği, ne okuduğu ve ne aradığı gibi veriler, kullanıcı hesaplarıyla eşleştirilir.
- Bu izleme, gizli modda bile çalışır.
- Bu takip, kullanıcıya hiçbir uyarı vermeden, tarayıcının ve Android’in güvenlik sınırlarını aşarak yapılır.
Anonimlik İllüzyonu
Kullanıcılar, gizli sekme, çerez temizliği veya reklam engelleyici kullanarak kendilerini korumaya çalıştıklarında, bu ihlal nedeniyle anonimliğinin tamamen ortadan kalktığını bilmelidir. Gizli sekme normalde, tarayıcı kapatıldığında çerezleri ve geçmişi silerek kullanıcıyı anonim hale getirmeye çalışır. Ancak Meta ve Yandex’in kodları, tarayıcıdaki silinecek bilgileri Android uygulamalarına göndermiş oluyor ve bu durum kullanıcıların gizliliğini ciddi şekilde tehdit ediyor.
Google’dan Gelen Tepki
Bu ihlalin ortaya çıkmasının ardından, Android’in sahibi olan Google‘ın sözcüleri, söz konusu davranışın Play Store’un hizmet şartlarını ve Android kullanıcılarının gizlilik beklentilerini ihlal ettiğini belirtti. Yandex ve Meta ise uygulamanın durdurulduğunu ve konuyla ilgili soruşturmaların başlatıldığını açıkladı. Bu durum, kullanıcıların gizlilik haklarının ne kadar önemli olduğunu bir kez daha gözler önüne serdi.
Kullanıcı Güvenliğini Artırma Yöntemleri
Kullanıcılar, bu tür ihlallere karşı kendilerini korumak için birkaç adım atabilir. Öncelikle, uygulamaların izinlerini dikkatlice gözden geçirmeli ve gereksiz izinleri iptal etmelidirler. Ayrıca, gizlilik odaklı tarayıcılar kullanmak ve reklam engelleyici yazılımlar yüklemek, kullanıcıların verilerini korumalarına yardımcı olabilir. Son olarak, güvenlik güncellemelerini düzenli olarak kontrol etmek ve güncel tutmak da önemli bir adımdır.
Bu ihlal, kullanıcıların verilerinin korunması gerektiğinin önemini vurgularken, aynı zamanda teknoloji devlerinin bu konuda daha sorumlu davranmaları gerektiğini de göstermektedir.
