Bu hafta akıllı telefon kullanıcılarının gizliliği ve güvenliği açısından oldukça çarpıcı bir hafta oldu. Özellikle iki araştırma, akıllı telefon reklamcılığı ve iOS’un bildirim sistemiyle ilgili rahatsız edici gizlilik endişelerini ortaya çıkardı. Bunlardan ilkinde yapılan bir araştırma, Patternz adlı bir şirketin akıllı telefonlardaki reklam dağıtım sistemini silah olarak kullanarak uygulamalar aracılığıyla bilgi topladığını ve daha sonra bunları teklif verenlere gönderdiğini ortaya çıkardı.
Rapor Patternz’i “reklam endüstrisi aracılığıyla milyarlarca telefon profilini takip edebilen gizli bir casus aracı” olarak tanımlıyor. Patternz, kötü niyetli veri toplama işlemleri için 9Gag ve bir dizi popüler arayan kimliği uygulaması gibi popüler uygulamalardaki bir boru hattını kullanıyor. Patternz’in müşterilerine, reklam yayınlayabilen hemen her uygulamayı izleyebileceğini söylediği bildirildi.
Şirketin CEO’su, yarım milyondan fazla uygulamayı kapsayan araç bir kez kullanıldığında, telefonun “fiili bir izleme bileziğine” dönüştüğünü söylüyor. Çarpıcı bir araştırmaya göre, 5 milyardan fazla kullanıcının profilini çıkarıyor ve bu bilgileri gerçek zamanlı teklif (RTB) pazarını kullanan müşterilere satıyor. İster iPhone ister Android telefonunuz olsun, bu sizi etkileyebilecek bir şey.
Patternz’in arkasındaki gözetim şirketi ISA, bu verileri Google ve eski adıyla Twitter olarak bilinen X gibi RTB oyuncularından topluyor. Sattığı veri kümesi, kullanıcı konum bilgisinden hareket modelinin geçmişine ve hatta kimlerle buluştuğuna kadar her şeyi içerebiliyor.
Devasa bir gözetleme ağı
Bu tür araçların varlığı, Apple’ın yoğun bir şekilde pazarladığı ve bu tür reklam destekli takibi engellemeyi amaçlayan Uygulama Takip Şeffaflığı özelliğinin etkinliğini de sorgulatıyor. Siber güvenlik uzmanları, bu tür araçların devlet gözetimine de olanak sağladığını ve ISA gibilerinin zaten ulusal güvenlik kurumlarına hizmetlerinin reklamını yaptığını söylüyor. Dolayısıyla veri toplama işi bir tesadüf değil. Ulusal Güvenlik Ajansı Başkanı bile NSA’nın kişilere ait internette gezinme verilerini arama izni gerekmeksizin veri simsarlarından satın aldığını kabul etmişti.
Bomba gibi doğrulama, Senatör Ron Wyden’ın (D-OR) NSA’in yeni direktörü Timothy Haugh’un adaylığını beklemeye alması ve kurumun Amerikalıların konum ve internet verilerini toplama uygulamaları hakkında yanıtlar talep etmesinin ardından gelmişti.
Üç yıldır NSA’in Amerikalıların internet kayıtlarını satın aldığını ortaya çıkarmaya çalışan Wyden, 11 Aralık’ta mevcut NSA Direktörü Paul Nakasone’den bu satın alımları doğrulayan bir mektup almıştı.
Bildirimler kötü niyetli olabilir
Ancak reklamlar gizlilik ve mahremiyet sorununun sadece yarısı. Mysk tarafından yapılan bir başka araştırma, kötü niyetli kişilerin iPhone’lardaki anlık bildirimlerden yararlanarak tanılama ve özelleştirilmiş veri dağıtımı için önemli veriler topladıklarını da ortaya çıkardı.
Bir uygulama anlık bildirim aldığında, iOS kısa bir süreliğine telefonu uyandırıyor ve kullanıcıya göstermeden önce bildirimi kişiselleştirmesi için kısa bir süre veriyor. İstilacı veri toplama alışkanlıklarıyla ünlü çeşitli sosyal uygulamaların anlık bildirimlerin sağladığı bu arka plan çalışma zamanından faydalanması şaşırtıcı değil.
Geliştiriciler bu boşluğu akıllıca kullanarak, sadece anlık bildirimler göndererek istedikleri zaman arka planda kod çalıştırabiliyor. Çok sayıda uygulama, arka planda çalışırken kapsamlı cihaz verilerini gizlice göndermek için bu işlevi kullanıyor ve cihazların parmak izini almak için etkili bir sistem çalıştırıyor.
Uzmanlar ne diyor?
Uzmanlara göre bu gizlilik sorununun şimdilik tek ve en etkili çözümü tüm anlık bildirimleri (push notifications) devre dışı bırakmak.
Küresel siber güvenlik firması Trend Micro’nun CEO’su Jon Clay, Digital Trends’e verdiği demeçte, “Son zamanlarda düşmanlar, kurbanı cihazlarına casus yazılım yüklemeye teşvik edebilecek bildirim pencerelerini ve reklamları kullanıyor gibi görünüyor” dedi.
Peki, ortalama bir insan, konum ve yerel veriler gibi tanımlayıcı ayrıntıları iletebilen bu tür yasadışı gözetimden kaçınmak için ne yapabilir? Appdome’da güvenlik ürünleri başkan yardımcısı olan Alan Bavosa, “Bu tür saldırılar oldukça sinsi ve son derece endişe verici” diyor. Kullanıcıların bu tür saldırılar karşısında genellikle savunmasız bir konumda olduklarını, çünkü ilk etapta cihazlarında neler olup bittiğinin farkında olmadıklarını belirtiyor.
Bavosa, “Kullanıcıların işleri daha da kötüleştirmemek için yapabilecekleri bazı tedbirler mevcut. Örneğin sadece standart uygulama mağazalarından uygulama indirmek ve cihazlarını değiştirmemek (jailbreak veya root) gibi küçük şeyler. Ancak bu önlemler iyileştirici değil, katkı sağlayıcıdır” diyor.
Ne yazık ki, sonuçta sorumluluk kullanıcıya düşüyor gibi görünüyor. Siber güvenlik uzmanlarının ortak önerisi, ayarlar uygulamasına manuel olarak girip belirli uygulamalar ve belki de cihaz sensörleri için bildirim uygulamalarını devre dışı bırakmak.
