Milyonlarca web sitesine yerleştirilen Meta Pixel ve Rusya merkezli Yandex Metrica izleme kodlarının, meşru internet protokollerini kötüye kullanarak Android kullanıcılarının anonimliğini bozduğu, hatta Chrome ve diğer tarayıcıların cihazlarda yüklü yerel uygulamalara benzersiz tanımlayıcılar gönderdiği araştırmacılar tarafından ortaya çıkarıldı. Google, bu kötüye kullanımı soruşturduğunu ve Meta ile Yandex'in geçici web tanımlayıcılarını kalıcı mobil uygulama kullanıcı kimliklerine dönüştürmesine olanak sağladığını belirtti. Bu durum, kullanıcı gizliliği ve güvenliği açısından ciddi endişeler yaratıyor.
Meta Pixel ve Yandex Metrica izleyicilerinde uygulanan bu gizli takip, Meta ve Yandex'in hem Android işletim sisteminin hem de üzerinde çalışan tarayıcıların temel güvenlik ve gizlilik korumalarını atlamasına olanak tanıyor. Örneğin, Android'in sanal alanı (sandboxing), uygulamaların birbirleriyle ve hassas sistem kaynaklarıyla etkileşimini engeller. Tüm büyük tarayıcılarda bulunan durum bölme (state partitioning) ve depolama bölme (storage partitioning) gibi savunmalar ise çerezleri ve site verilerini her site için ayrı kaplarda saklayarak diğer sitelerin erişimini engeller. Meta ve Yandex, bu temel korumaları aşıyor.
Sanal Alanın Bariz İhlali
Bu keşfi yapan araştırmacılardan biri, durumun ciddiyetini "Web'de ve mobil sistemde var olan temel güvenlik prensiplerinden biri sanal alandır. Her şeyi bir sanal alanda çalıştırırsınız ve üzerinde çalışan farklı öğeler arasında etkileşim olmaz. Bu saldırı vektörünün sağladığı şey ise mobil bağlam ile web bağlamı arasında var olan sanal alanı kırmasıdır." sözleriyle açıkladı. Araştırmacıya göre, bu yöntem Android sisteminin tarayıcıdaki etkinlikleri, mobil uygulamada oturum açmış kullanıcı kimliğiyle iletişim kurmasını sağlıyor.
Yandex'in 2017'de başlattığı, Meta'nın ise geçen Eylül'de başladığı bu atlatma, şirketlerin Firefox ve Chromium tabanlı tarayıcılardan çerezleri veya diğer tanımlayıcıları Facebook, Instagram ve çeşitli Yandex uygulamaları gibi yerel Android uygulamalarına aktarmasına olanak tanıyor. Şirketler daha sonra bu kapsamlı tarama geçmişini uygulamada oturum açmış hesap sahibiyle ilişkilendirebiliyor ve kullanıcıların web'deki hareketlerini kendi kimlikleriyle eşleştiriyor.
Bu kötüye kullanım şimdilik yalnızca Android'de gözlemlendi ve kanıtlar Meta Pixel ile Yandex Metrica'nın özellikle Android kullanıcılarını hedef aldığını gösteriyor. Araştırmacılar, tekniğin teknik olarak iOS'ta da uygulanabilir olabileceğini, ancak Android'in yerel bağlantılar üzerindeki kontrollerinin daha gevşek olmasının bu tür bir istismarı kolaylaştırdığını belirtiyor.
Meta Pixel ve Yandex Metrica, reklam verenlerin kampanyalarını ölçmek için kullanılan analiz araçlarıdır. Tahminlere göre Meta Pixel yaklaşık 5,8 milyon, Yandex Metrica ise 3 milyon sitede yüklü durumda. Bu da etkilenen kullanıcı sayısının potansiyel olarak çok yüksek olduğunu gösteriyor.
Meta ve Yandex, bu atlatmayı, modern mobil tarayıcılarda yerleşik olan ve tarayıcıdan yerel uygulamaya iletişime olanak tanıyan, ancak genellikle RTC (gerçek zamanlı iletişim), dosya paylaşımı veya hata ayıklama gibi meşru amaçlarla kullanılan temel işlevselliği kötüye kullanarak başarıyor. Özellikle, 127.0.0.1 IP adresindeki yerel ana bilgisayar (localhost) portlarına erişimi istismar ediyorlar. Tarayıcılar bu portlara kullanıcı bildirimi olmaksızın erişir. Facebook, Instagram ve Yandex yerel uygulamaları ise bu portları sessizce dinleyerek tanımlayıcıları kopyalar ve uygulamada oturum açmış kullanıcıyla ilişkilendirir.
Google'dan bir temsilci, bu davranışın Play Store hizmet şartlarını ve Android kullanıcılarının gizlilik beklentilerini bariz şekilde ihlal ettiğini söyledi. Google, bu teknikleri hafifletmek için şimdiden değişiklikler uyguladığını, kendi soruşturmalarını başlattığını ve ilgili taraflarla doğrudan temas halinde olduğunu belirtti.
Meta, konuyla ilgili sorulara yanıt vermezken, Google ile politikalarının uygulanmasıyla ilgili olası bir yanlış anlaşılmayı gidermek için görüştüklerini ve endişelerden haberdar olduktan sonra özelliği duraklatmaya karar verdiklerini bildiren bir açıklama yaptı. Yandex ise yorum talebini yanıtsız bıraktı.
Meta ve Yandex Anonimliği Nasıl Ortadan Kaldırıyor?
Meta Pixel geliştiricileri, geçen Eylül'den beri farklı protokolleri kötüye kullanarak bu gizli dinlemeyi uyguluyor. Başlangıçta uygulamaların belirli bir porta HTTP istekleri göndermesini sağladılar, ardından WebSocket ve WebRTC gibi protokolleri kullanarak daha karmaşık yöntemlere geçtiler. Özellikle WebRTC'de kullanılan ve SDP munging adı verilen bir teknikle, normalde bağlantı bilgisi için ayrılmış alanlara çerez bilgilerini ekleyerek tarayıcının bu veriyi yerel ana bilgisayara göndermesini sağladılar.
Chrome, bu tekniği engellemek için güncellemeler çıkarsa da, Meta Pixel hızla yeni yollar bularak engelleri aşmayı başardı. Benzer şekilde, Yandex Metrica da 2017'den beri HTTP ve daha sonra HTTPS üzerinden yerel portlara veri göndererek bu takibi sürdürdü.
Bazı tarayıcılar (DuckDuckGo, Brave gibi), kapsamlı engelleme listeleri veya yerel ana bilgisayar erişimini kullanıcı izni olmadan engelleme gibi mevcut önlemleri sayesinde bu istismarı büyük ölçüde engelliyor. Ancak araştırmacılar, bu tür engellemelerin sürekli bir "silahlanma yarışı" anlamına geldiğini ve tek başına yeterli olmadığını belirtiyor. Çünkü izleyiciler, kodlarını güncelleyerek veya farklı port numaraları kullanarak mevcut engelleri aşabilirler.
Asıl Çözüm: Android Sistemi Değişmeli
Araştırmacılar, bu tür bir kötüye kullanımı kalıcı olarak önlemenin en kapsamlı yolunun, Android'in yerel portlara erişimi ele alma şeklini temelden değiştirmek olduğunu savunuyor. Şu anki sistemde, yerel ana bilgisayar soketlerine erişim tamamen kontrolsüz durumda ve kullanıcıların bu iletişimi engellemesinin bir yolu yok. Araştırmacılara göre, JavaScript kodunun dinamik yapısı ve engelleme listelerini güncel tutmanın zorluğu göz önüne alındığında, en doğru yaklaşım, daha katı platform politikalarıyla bu tür erişimi mobil platform ve tarayıcı düzeyinde sınırlamaktır.
Bu keşfi yapan araştırmacılardan biri, kendi üniversitesinin web sitesini ziyaret ederken Meta Pixel'in yerel portlara eriştiğini ilk fark eden kişiydi. Meta veya Yandex'in bu takibi, izleyicileri kullanan web sitelerine veya son kullanıcılara açıkça bildirdiğine dair bir işaret bulunmuyor. Hatta geliştirici forumları, birçok site yöneticisinin bu durumdan habersiz olduğunu ve betiklerin yerel portlara bağlanmaya başlamasıyla şaşırdığını gösteriyor.
Geçmişte hem Meta hem de Meta Pixel'ini kullanan şirketler, toplanan verilerin gizlilik yasalarını ihlal ettiği iddiasıyla çeşitli ülkelerde davalarla karşılaştı. 2023 tarihli bir araştırma, Meta Pixel'in "özellikle GDPR kapsamında hassas kategoriler olarak sınıflandırılan web sitelerinde, geniş bir kullanıcı etkinliği yelpazesini endişe verici detaylarla izlediğini" ortaya koymuştu.
Şu ana kadar Google, Android'in yerel port erişimini ele alma şeklini yeniden tasarlamayı planladığına dair net bir açıklama yapmadı. Şimdilik, Meta Pixel ve Yandex Metrica takibine karşı en kapsamlı kişisel koruma yöntemi, Android cihazlara Facebook, Instagram veya Yandex gibi ilgili yerel uygulamaları yüklemekten kaçınmak gibi görünüyor.
