İspanya’daki IMDEA Ağ Enstitüsü’ndeki araştırmacılar, Meta ve Yandex’in Android platformundaki mobil uygulamalar vasıtasıyla kullanıcıların kimliklerini tespit ettiğini belirten ciddi bir ihlali ortaya çıkardı.
Yayınlanan raporda, bu iki teknoloji devinin Android kullanıcılarının çevrimiçi faaliyetlerini gizlice izlediği ve kullanıcıların gizli modda bile kimlik bilgilerine ulaştıkları ifade edildi.
H apesar Android işletim sisteminde gerçekleşmiş olsa da, araştırmacılar iOS kullanıcılarının da benzer bir saldırıya maruz kalabileceği uyarısında bulundular.
İhlalin Meta Pixel ve Yandex Metrica adındaki analiz ve takip araçlarıyla yapıldığı kaydediliyor.
İHLAL GÜVENLİK SİSTEMİNİ AŞTI
Meta Pixel ve Yandex Metrica, internet sitelerindeki reklamverenlere, reklamlardan aldıkları geri dönüşleri ölçme konusunda yardımcı olmak için tasarlanmış araçlardır. Ars Technica’nın haberine göre, bu iki aracın sırasıyla 5,8 milyon ve 3 milyon internet sitesine entegre edilmiş olduğu tahmin ediliyor. Ancak bu durumun kötüye kullanıldığı anlaşıldı.
Söz konusu araçlar, Android cihazların güvenlik kurallarını aşarak, kullanıcıların kimlik bilgilerini gizlice elde edebiliyor. Özellikle Chrome gibi web tarayıcılarının, güvenlik sebebiyle uygulamalarla paylaşmaması gereken bilgileri “localhost” üzerinden kendi uygulamalarına aktarabildiği öğrenildi.
GÜVENLİK DUVARI AŞILDI
İhlal, tarayıcılar ve uygulamalar arasındaki güvenliği sağlayan duvarların aşılmasıyla gerçekleşti. “Sandbox” adı verilen bu güvenlik mekanizması, uygulamaların birbirinden izole edilmesini sağlıyor. Örneğin, bir alışveriş sitesi ile banka sitesinin aynı anda açılması durumunda, birinin diğerinin oturum bilgilerine erişmesine izin vermiyor. Böylece uygulamalar, kendi alanlarında çalışabiliyor.
Bu ihlalde, Sandbox güvenlik duvarı bypass edilerek Meta ve Yandex, tarayıcıda elde edilen kullanıcıya özel verileri Android cihazlarındaki uygulamalarına iletebildi. Böylece, Chrome’da belirli bir siteyi ziyaret eden bir kullanıcının kimlik bilgileri, Facebook, Instagram ya da Yandex hesaplarıyla eşleştirilebiliyor.
İHLALİN ADIM ADIM İÇ YÜZÜ
Bir kullanıcı, Android cihazında Instagram’ı yükleyip yalnızca bir kez oturum açtığında, Meta Pixel’in yerleştirildiği herhangi bir web sitesine girdiğinde, söz konusu komut dosyası tüm bilgileri uygulamaya geri gönderiyor. Bu süreç şu aşamalardan geçiyor:
– Kullanıcı Facebook veya Yandex uygulamalarında oturum açmıştır.
– Chrome veya başka bir tarayıcıda gezinmeye devam etmektedir.
– Uygulamalar, kullanıcının tarayıcıda yaptığı işlemleri gizlice izler.
– Ziyaret edilen siteler, okunan içerikler ve yapılan aramalar gibi veriler kullanıcının uygulamadaki hesaplarıyla eşleştirilir.
– Bu izleme işlemi gizli modda bile gerçekleştirilir.
– Tüm bu işlemler kullanıcıya hiçbir uyarı yapılmadan, tarayıcı ve Android’in güvenlik sınırlarını aşarak yapılmaktadır.
KENDİLERİNİ GİZLİ ZANNEDİLER
Bu ihlal aynı zamanda, gizli mod kullanan, çerezleri silen veya reklam engelleyici kullanan kullanıcıların, anonimliğinin tamamen kaybolduğuna işaret ediyor. Normalde gizli tarayıcı modu, kullanıcı tarayıcıyı kapattığında çerezleri ve geçmişi silerek onları anonim hale getirmeye çalışıyor. Ancak bu durumda, Meta ve Yandex’in kodları, tarayıcıdaki silinmesi gereken bilgileri Android uygulamalarına aktarıyor.
GOOGLE’DAN AÇIKLAMA
Android’in sahibi olan Google’ın sözcüleri, ihlalin açığa çıkmasından sonra, bu davranışın Play Store’un hizmet şartlarını ve Android kullanıcılarının gizlilik beklentilerini ihlal ettiğini belirtti.
Yandex ve Meta ise, uygulamanın durdurulduğunu ve konu ile ilgili soruşturmalar başlatıldığını duyurdu.
