Meta'nın Pixel ve Rusya merkezli Yandex'in Metrica takip kodlarının milyonlarca web sitesine gömülü olduğu ve bu kodların, standart internet protokollerini kötüye kullanarak Android kullanıcılarının kimlik bilgilerini gizlice topladığı ortaya çıktı. Araştırmacılar, bu yöntemle Chrome ve diğer tarayıcıların, cihazlara yüklü olan uygulamalara eşsiz tanımlayıcıları (identifier) gizlice gönderdiğini keşfetti. Google, bu durumu araştırdığını ve bunun Meta ile Yandex'in geçici web kimliklerini, kalıcı mobil uygulama kullanıcı kimliklerine dönüştürmesine olanak tanıdığını belirtti.
Meta Pixel ve Yandex Metrica takipçilerinde uygulanan bu gizli izleme yöntemi, Android işletim sisteminin ve üzerindeki tarayıcıların sağladığı temel güvenlik ve gizlilik korumalarını atlatıyor. Örneğin, Android'deki 'kum havuzu' (sandboxing) sistemi, süreçleri izole ederek birbirleriyle etkileşimini engeller ve hassas verilere erişimi kısıtlar. Benzer şekilde, tüm büyük tarayıcılarda bulunan 'durum bölümleme' (state partitioning) ve 'depolama bölümleme' (storage partitioning) gibi savunmalar, site çerezlerini ve diğer verileri, her üst düzey alan adına özgü kaplarda saklayarak diğer sitelerin erişimini engeller. Ancak bu yöntem, web ve mobil ortamlar arasındaki bu izolasyonu bozuyor.
Araştırmacılardan biri, bunun web ve mobil sistemlerdeki temel güvenlik prensiplerinden biri olan kum havuzu prensibinin açıkça ihlali olduğunu vurguladı. Keşfedilen saldırı vektörünün, mobil bağlam ile web bağlamı arasında var olan kum havuzunu kırmasına olanak sağladığını, Android sisteminin tarayıcıda olanları mobil uygulamada çalışan kimlikle iletişim kurmasını sağlayan bir kanal oluşturulduğunu ifade etti.
Yandex'in 2017'de, Meta'nın ise geçen Eylül ayında başladığı bu atlatma yöntemi, şirketlerin Firefox ve Chromium tabanlı tarayıcılardan çerezleri veya diğer tanımlayıcıları Facebook, Instagram ve çeşitli Yandex uygulamaları gibi yerel Android uygulamalarına aktarmasına olanak tanıyor. Böylece şirketler, bu geniş web tarama geçmişini, uygulamada oturum açmış olan hesap sahibiyle ilişkilendirebiliyorlar.
Bu kötüye kullanım şu ana kadar sadece Android'de gözlemlendi ve Meta Pixel ile Yandex Metrica'nın yalnızca Android kullanıcılarını hedef aldığına dair kanıtlar bulunuyor. Araştırmacılar, iOS'i hedef almanın teknik olarak mümkün olabileceğini, ancak Android'in yerel sunucu iletişimleri ve arka plan uygulama yürütmeleri üzerindeki kontrollerinin iOS'e göre daha az olduğunu belirtti. Bu aşırı hoşgörülü tasarım, Meta Pixel ve Yandex Metrica'nın, web takip tanımlayıcıları içeren web isteklerini, Facebook, Instagram ve Yandex uygulamaları tarafından sürekli izlenen belirli yerel portlara göndermesine olanak tanıyor. Bu uygulamalar daha sonra takma adlı web kimliklerini, özel gezinme modlarında bile gerçek kullanıcı kimlikleriyle ilişkilendirerek, kullanıcıların bu takipçileri içeren sitelerdeki tarama alışkanlıklarını etkin bir şekilde kimliksizlikten çıkarıyor.
Meta Pixel'in tahminen 5.8 milyon, Yandex Metrica'nın ise 3 milyon sitede yüklü olduğu biliniyor. Bu takipçiler, reklamverenlerin kampanyalarının etkinliğini ölçmelerine yardımcı olmak için tasarlanmıştır.
Meta ve Yandex, bu atlatmayı, modern mobil tarayıcılarda bulunan ve tarayıcı ile yerel uygulama arasında iletişime izin veren temel bir işlevi kötüye kullanarak başarıyorlar. Tarayıcılar, 127.0.0.1 IP adresindeki yerel Android portlarına web istekleri gönderebiliyor. Tarayıcılar bu portlara kullanıcıya bildirim yapmadan erişiyor. Facebook, Instagram ve Yandex uygulamaları ise bu portları sessizce dinliyor, kimlik tanımlayıcılarını gerçek zamanlı olarak kopyalıyor ve uygulamada oturum açmış kullanıcıyla ilişkilendiriyor. Bu, temel olarak 'tuhaf bir protokol kötüye kullanımı' olarak tanımlanıyor.
Google'dan bir temsilci, bu davranışın Play Store hizmet şartlarını ve Android kullanıcılarının gizlilik beklentilerini açıkça ihlal ettiğini söyledi. Temsilci, bu istilacı teknikleri hafifletmek için zaten değişiklikler uyguladıklarını ve kendi soruşturmalarını başlattıklarını belirtti.
Meta, konuyla ilgili soruları yanıtsız bıraktı ancak Google ile politikalarının uygulanması konusundaki potansiyel bir yanlış anlaşılmayı gidermek için görüştüklerini ve endişelerden haberdar olduklarında özelliği duraklatmaya karar verdiklerini bildirdi. Yandex ise uygulamayı sonlandırdığını ve Google ile temas halinde olduğunu belirtti. Yandex açıklamasında, veri koruma standartlarına sıkı sıkıya uyduklarını, kullanıcı verilerini kimliksizlikten çıkarmadıklarını ve söz konusu özelliğin hassas bilgi toplamadığını, yalnızca uygulamaları içinde kişiselleştirmeyi iyileştirmeyi amaçladığını savundu.
Meta Pixel geliştiricileri, geçen Eylül'den bu yana çeşitli protokolleri kötüye kullanarak gizli dinlemeyi uyguladı. Başlangıçta uygulamaların belirli bir porta HTTP istekleri göndermesini sağladılar, ardından WebSocket ve WebRTC gibi farklı tekniklere geçiş yaptılar. Chrome'un bu teknikleri engelleme çabalarına rağmen, Meta hızlıca yeni yöntemler geliştirdi. Yandex Metrica'nın ise 2017'den beri benzer teknikler kullandığı tespit edildi.
Android için bazı tarayıcılar, takipçilerdeki zararlı JavaScript kodunu engellemiş durumda. Örneğin, DuckDuckGo ve Brave tarayıcıları, mevcut kara listeleri ve localhost isteklerini kullanıcı izni olmadan engelleme mekanizmaları sayesinde bu tür kimlik paylaşımını zaten engelliyordu. Chromium tabanlı bir diğer tarayıcı olan Vivaldi ise varsayılan gizlilik ayarında kimlikleri yerel portlara iletiyor, ancak takipçileri engelleme ayarı etkinleştirilirse tarama geçmişi sızıntısını önleyebiliyor.
Araştırmacılar, DuckDuckGo, Brave, Vivaldi ve Chrome'un uyguladığı mevcut düzeltmelerin işe yaradığını ancak herhangi bir zamanda etkisiz hale gelebileceği konusunda uyarıyorlar. Mevcut hafifletmelerin muhtemelen sürekli bir 'silahlanma yarışı'na yol açacağını ve yalnızca kısmi çözümler sunduğunu belirttiler. Etkili kara listeler oluşturmanın zor olduğunu ve tarayıcı üreticilerinin localhost kanallarını potansiyel olarak kötüye kullanan diğer sunucu adlarını sürekli izlemesi ve kara listelerini buna göre güncellemesi gerekeceğini ifade ettiler. Mevcut düzeltmelerin o kadar spesifik olduğunu ve basit bir güncellemeyle kolayca aşılabileceğini eklediler.
Daha kapsamlı bir çözümün, Android'in yerel portlara erişimi ele alma şeklini temelden elden geçirmesi olduğunu söylediler. Temel sorunun, Android'de yerel sunucu soketlerine erişimin tamamen kontrolsüz olması olduğunu açıkladılar. Kullanıcıların cihazlarında bu tür iletişimi engellemesinin bir yolu yok. JavaScript kodunun dinamik doğası ve kara listeleri güncel tutmanın zorluğu nedeniyle, bunu kalıcı olarak engellemenin doğru yolunun, daha sıkı platform politikaları dahil olmak üzere mobil platform ve tarayıcı düzeyinde bu tür erişimi sınırlamak olduğu belirtildi.
Bu takibin, takipçileri barındıran web sitelerine veya son kullanıcılara duyurulduğuna dair bir işaret bulunmuyor. Geliştirici forumları, Meta Pixel kullanan birçok web sitesinin, komut dosyaları yerel portlara bağlanmaya başladığında hazırlıksız yakalandığını gösteriyor. Meta, geçmişte benzer veri toplama pratikleri nedeniyle çeşitli gizlilik davalarıyla karşı karşıya kaldı.
Şu ana kadar Google, Android'in yerel port erişimini yeniden tasarlamayı planladığına dair bir işaret vermedi. Şimdilik, Meta Pixel ve Yandex Metrica takibine karşı en kapsamlı koruma, Android cihazlara Facebook, Instagram veya Yandex uygulamalarını yüklemekten kaçınmaktır.
