Araştırmacılar, Meta ve Yandex’in Android Kullanıcılarının Tarama Kimliklerini İzlediğini Ortaya Koydu

Araştırmacılar, Meta ve Rus şirketi Yandex’in, gizlilik ve güvenlik korumalarını atlayarak, kullanıcıların izinleri olmadan tarama verilerini izlemek için yerel Android uygulamalarını kullandığını ortaya çıkardı. Google, bu durumu araştırdığını belirtti.

Rapora göre, Salı günü güncellenen ve “Android’de Localhost Üzerinden Gizli Web’den Uygulamaya İzleme” başlıklı bu raporda, Meta ve Yandex, kullanıcıların tarayıcı meta verilerine, komutlarına ve çerezlerine cihazlarındaki localhost soketleri aracılığıyla erişim sağladı.

“Meta ve Yandex tarafından geliştirilen yeni bir izleme yöntemini ve bu yöntemin milyarlarca Android kullanıcısını potansiyel olarak etkileyebileceğini açıklıyoruz,” belgeyi böyle ifade ediyor. “Yerel sabit portları izleme amaçlı sessizce dinleyen yerel Android uygulamaları arasında—Facebook, Instagram, ve birkaç Yandex uygulaması, Haritalar ve Tarayıcı da dahil olmak üzere— bulduk.”

Teknoloji şirketleri, web’den uygulamaya ID paylaşım yöntemini kullanıyor—Yandex 2017’den beri, ve Meta ise Eylül 2024’ten beri— ve bunlar incognito modu, Android’in izin kontrolleri ve çerezleri temizleme gibi korumaları atlatıyor. Araştırmacılar yayınları paylaştıktan sonra, Meta izleme yöntemini kullanmayı durdurdu.

Ars Technicaya göre, Google durumu araştırıyor ve Meta ve Yandex’in Play marketplace hizmet şartlarını ihlal ettiğini belirtti.

Yandex, araştırmada ele alınan özelliğin kullanıcıların kişisel bilgilerini toplamadığını ve tek amacının daha kişiselleştirilmiş bir hizmet sunmak olduğunu söyledi. Ancak araştırmacılar bu konuda farklı düşünüyor ve kullanılan metodolojinin risklerini vurguluyorlar.

“Web’deki temel güvenlik ilkelerinden biri, mobil sistemde de olduğu gibi, ‘sandboxing’ olarak adlandırılıyor,” dedi bu keşfin arkasındaki araştırmacılardan biri olan Narseo Vallina-Rodriguez, Ars Technica ile yaptığı bir röportajda. “Her şeyi bir sandbox’ta çalıştırırsınız ve bunun üzerinde çalışan farklı öğeler arasında hiçbir etkileşim yoktur. Bu saldırı vektörü, mobil bağlam ile web bağlamı arasında var olan sandbox’ı kırmayı sağlar. Var olan kanal, Android sisteminin tarayıcıda neler olduğunu, mobil uygulamada çalışan kimlik ile iletişim kurmasına izin verdi.”

Araştırmacılar, bu kötüye kullanımı yalnızca Android’de fark etti, ancak bunun iOS’ta da uygulanabileceğini belirttiler.

Diğer oyuncular da Android kullanıcılarını hedef alıyor. Birkaç gün önce, siber güvenlik araştırmacıları, dolandırıcıların SuperCard X adlı bir Android zararlı yazılımı aracılığıyla kart bilgilerini çaldığını ortaya çıkardı.