İspanya’daki IMDEA Ağ Enstitüsü’nden araştırmacılar, Meta ve Yandex'in Android cihazlardaki mobil uygulamalar aracılığıyla kullanıcıların kimliklerini tespit ederek büyük bir gizlilik ihlali gerçekleştirdiğini ortaya çıkardı. Hazırlanan raporda, bu iki şirketin Android kullanıcılarının internet aktivitelerini aylardır gizlice izlediği ve kullanıcılar gizli sekme açsa dahi kimliklerini tespit edebildiği belirtiliyor. Bu durum, Android kullanıcıları için ciddi bir güvenlik açığı oluşturuyor.

İhlal Nasıl Gerçekleşti?

Meta Pixel ve Yandex Metrica adlı takip araçları kullanılarak gerçekleştirilen bu ihlal, reklamverenlerin reklamlarının etkinliğini ölçmelerine yardımcı olmak amacıyla tasarlanmış analiz araçlarının kötüye kullanılmasıyla ortaya çıktı. Meta Pixel'in 5,8 milyon, Yandex Metrica'nın ise 3 milyon siteye yüklendiği tahmin ediliyor. Bu araçlar, kullanıcı davranışlarını izlemek ve reklam performanslarını ölçmek amacıyla kullanılırken, bu olayda kullanıcıların kimliklerini gizlice tespit etmek için kullanıldığı tespit edildi.

Bu araçlar, Android cihazlardaki kullanıcıların kimliklerini gizlice tespit edebiliyor ve Chrome gibi internet tarayıcılarının normalde güvenlik nedeniyle uygulamalarla paylaşmaması gereken bilgileri, "localhost" üzerinden kendi uygulamalarına (Facebook, Instagram, Yandex vb.) gizlice iletiyor. Bu durum, tarayıcılar ve uygulamalar arasındaki güvenlik duvarının aşılması anlamına geliyor.

Güvenlik Duvarı Aşıldı

Söz konusu ihlalde, "Sandbox" adı verilen güvenlik duvarının aşılmasıyla Meta ve Yandex, tarayıcıda elde ettikleri kullanıcıya özel çerez bilgilerini, Android cihazlardaki kendi uygulamalarına gönderebildi. Sandbox, uygulamaları birbirinden ayıran bir izolasyon sistemi olup, örneğin bir alışveriş sitesi ile banka sitesi aynı anda açıkken, birinin diğerinin oturum bilgilerine erişememesini sağlıyor. Ancak bu ihlalde, bu güvenlik duvarı aşılarak kullanıcı verileri tehlikeye atıldı.

Bu sayede, örneğin Chrome’daki herhangi bir sitede gezinen kullanıcının kimlik bilgilerinden ayrıştırılmış verileri, Facebook, Instagram ya da Yandex uygulamasına giriş yapmış gerçek hesapla eşleştirilebildi. Bu durum, kullanıcıların çevrimiçi gizliliğinin ciddi şekilde ihlal edildiği anlamına geliyor.

• Kullanıcı Facebook veya Yandex uygulamalarına giriş yapmıştır.
• Chrome veya başka bir tarayıcıda gezinmektedir.
• Söz konusu uygulamalar, kullanıcının tarayıcıda ne yaptığını arka planda gizlice izler.
• Hangi siteye girdiği, ne okuduğu, ne aradığı gibi veriler, kullanıcının uygulamadaki hesaplarıyla eşleştirilir.
• Bu izleme gizli modda bile çalışır.
• Bu takip kullanıcıya hiçbir uyarı vermeden, tarayıcının ve Android’in güvenlik sınırlarını aşarak yapılır.

Google'dan Açıklama

Android'in sahibi Google'ın sözcüleri, ihlalin ortaya çıkmasının ardından yaptıkları açıklamada, söz konusu davranışın uygulama mağazası Play Store'un hizmet şartlarını ve Android kullanıcılarının gizlilik beklentilerini ihlal ettiğini belirtti. Yandex ve Meta'dan yapılan açıklamalarda ise uygulamanın durdurulduğu ve konuyla ilgili soruşturmalar başlatıldığı ifade edildi.

Bu büyük gizlilik ihlali, kullanıcıların çevrimiçi gizliliğinin ne kadar kırılgan olduğunu bir kez daha gözler önüne seriyor. Meta ve Yandex gibi büyük şirketlerin, kullanıcı verilerini koruma konusunda daha dikkatli ve şeffaf olması gerekiyor. Aksi takdirde, kullanıcıların güveni sarsılabilir ve bu tür ihlallerin önüne geçmek zorlaşabilir.