Güvenlik araştırmacıları tarafından yapılan testlere göre, aralarında Facebook, LinkedIn, TikTok ve X/Twitter’ın da bulunduğu iPhone uygulamaları, bildirimler yoluyla kullanıcı verilerini toplamak için Apple’ın gizlilik kurallarının dışına çıkıyor. Mysk Inc., bir uygulama geliştirme şirketi. Kullanıcılar bazen arka planda veri toplamasını engellemek için uygulamaları kapatıyor ancak bu teknik bu korumayı aşıyor. Araştırmacılar, verilerin bildirimleri işlemek için gereksiz olduğunu ve farklı uygulamalar ve cihazlardaki analiz, reklam ve kullanıcıları takip etmeyle ilgili göründüğünü söyledi.
Uygulamaların gizlice daha fazla veri toplama fırsatı bulması doğaldır, ancak testleri Talal Haj Bakry ile birlikte yürüten Tommy Mysk, “Bu uygulamanın yaygın olarak kullanıldığını öğrenmek bizi şaşırttı” dedi. “Bir bildirimi reddetmek kadar basit bir eylemin, çok sayıda benzersiz cihaz bilgisinin uzak sunuculara gönderilmesini tetikleyeceğini kim bilebilirdi? Geliştiricilerin bunu talep üzerine yapabileceği gerçeğini düşündüğünüzde endişeleniyoruz.”
Bu belirli uygulamalar olağandışı kötü aktörler değildir. Araştırmacılara göre bu, iPhone ekosistemini rahatsız eden yaygın bir sorun.
Bu, Mysk’in testlerinin dünyayı “iPhone’unuzda olanın iPhone’unuzda kalacağına” ikna etmek için sayısız milyonlar harcayan Apple’daki veri sorunlarını ortaya çıkardığı ilk sefer değil. Ekim 2023’te Mysk, övülen bir iPhone özelliğinin WiFi adresinizle ilgili ayrıntıları korumayı amaçladığını keşfetti şirketin vaat ettiği kadar gizli değil. 2022’de Apple darbe aldı bir düzineden fazla toplu dava Gizmodo, Mysk’in Apple’ın kullanıcıları hakkında veri topladığını tespit etmesinin ardından iPhone gizlilik ayarını değiştirdikten sonra bile Bu, “cihaz analitiğinin paylaşımını tamamen devre dışı bırakma” sözü veriyor.
Veriler, şirketlerin cihazınızla ilgili görünüşte zararsız birkaç ayrıntıya dayanarak sizi tanımlamak için kullandıkları bir teknik olan “parmak izi” için kullanılan bilgilere benziyor. Parmak izi, insanları takip etmek ve onlara hedefli reklamlar göndermek için gizlilik korumalarını aşıyor ve Apple, şirketlerin bunu yapmasını açıkça yasaklıyor. iPhone’larda ve diğer Apple ürünlerinde, şirketlerin sizi ne zaman tanımlayabileceği ve veri toplayabileceği konusunda kontrol sahibi olmanızı sağlayacak birçok ayar ve kural bulunmaktadır.
Örneğin testler, Facebook’tan gelen bir bildirimle etkileşim kurduğunuzda uygulamanın IP adreslerini, telefonunuzun yeniden başlatılmasından bu yana geçen milisaniye sayısını, telefonunuzdaki boş hafıza alanı miktarını ve diğer birçok ayrıntıyı topladığını gösterdi. Bunun gibi verileri birleştirmek, bir kişiyi yüksek düzeyde doğrulukla tanımlamak için yeterlidir. Testteki diğer uygulamalar da benzer bilgiler topladı. Mysk, örneğin LinkedIn’in hangi saat diliminde olduğunuzu, ekranınızın parlaklığını, hangi mobil operatörü kullandığınızı ve ayrıca özellikle reklam kampanyalarıyla ilgili görünen diğer birçok bilgiyi toplamak için bildirimleri kullandığını söyledi.
Bir uygulamanın bu bilgiyi toplayabilmesi, onu kullandığı anlamına gelmez.
Facebook’un sahibi Meta, Mysk’in vardığı sonuçların yanlış yorumlandığını söyledi. “Bulgular doğru değil. Meta sözcüsü Emil Vazquez, “İnsanlar kendi cihazlarında uygulamamıza giriş yapıyor ve bildirimlerin etkinleştirilmesine izin veriyor” dedi. “Apple’ın API’lerini kullanarak zamanında, güvenilir bildirimler sunmamıza yardımcı olmak için bu bilgileri, uygulama çalışmıyorken bile düzenli olarak kullanabiliriz. Bu bizim politikalarımızla tutarlıdır.”
LinkedIn de benzer bir açıklama paylaştı. Bir LinkedIn sözcüsü, “Bildirimleri, reklam veya ilgili analizler, cihazlar arası veya uygulamalar arası izleme için üye verilerini toplamanın bir yolu olarak kullanmıyoruz” dedi. “Bildirimlerle ilgili tüm veriler yalnızca bir bildirimin başarıyla gönderildiğini doğrulamak için kullanılır ve hiçbir zaman harici olarak paylaşılmaz.” Apple, TikTok ve X/Twitter, Gizmodo’nun bu makaleye ilişkin sorularını hemen yanıtlamadı.
Bu ayrıntılar, konum verileri gibi şeylerle karşılaştırıldığında çok hassas değildir ancak reklamcılık ve diğer amaçlar için değerlidirler. Pek çok insanın fark etmediği şey, hedefli reklamların ve diğer dijital mahremiyet ihlallerinin tamamen kimliğinizi ortaya çıkarmakla ilgili olduğudur. Şirketler, uygulamalarında ne yaptığınızı biliyor ancak kim olduğunuzu her zaman bilmiyorlar ve kimin olduğunu bilmiyorsanız veriler çok daha az kullanışlıdır. Şirketler sizi tanımlayamıyorsa reklamlarla sizi hedefleyemezler.
Apple, veri toplamayı ve hedefli reklamları kolaylaştırmak için özel olarak yapılmış özel bir reklam kimlik numarası sağlar, ancak iPhone’un “Uygulamanın Takip Etmemesini İste” kontrol bu reklam kimliğini engelleyin. Teorik olarak bu, şirketlerin farklı uygulamalardan ve internetin diğer kısımlarından sizin hakkınızda ve davranışlarınız hakkında bilgileri bir araya getirmesini engellemesi gerekiyor. Ancak parmak izi almak yine de bunu yapmaya devam etmenin sinsi bir yoludur.
Uygulamalar açık olduklarında sizin hakkınızda bu tür verileri toplayabilir, ancak bir uygulamayı hızlıca kaydırarak kapatmak, veri akışını kesmeli ve uygulamanın çalışmasını durdurmalıdır. Ancak bildirimlerin bir arka kapı sağladığı görülüyor.
Apple özel yazılım sağlar uygulamalarınızın bildirim göndermesine yardımcı olmak için. Bazı bildirimler için uygulamanın bir ses çalması veya metin, resim veya diğer bilgileri indirmesi gerekebilir. Uygulama kapalıysa iPhone işletim sistemi, uygulamanın şirket sunucularıyla iletişim kurmak, size bildirim göndermek ve gerekli diğer işleri gerçekleştirmek için geçici olarak uyanmasına olanak tanır. Mysk’in tespit ettiği veri toplama işlemi bu kısa pencerede gerçekleşti.
Mysk, “Uygulamanın arka planda başlaması ve ayrıntıları geri göndermesi için hedeflenen cihaza kasıtlı olarak bir bildirim gönderebilirler” dedi. Veya TikTok veya X/Twitter gibi bir şirket, uygulamaları kapalı olan 100.000 kişinin IP adreslerinin hızlı bir şekilde güncellenmesini isterse, tek yapması gereken kısa bir bildirimdir. “Bu akıllara durgunluk verici” dedi.
Bir uygulamanın, hizmetlerini optimize etmek için kullanıcıların bildirimlerle nasıl etkileşimde bulunduğunu analiz etmek istemesi son derece mantıklıdır. Ancak Mysk, uygulamaların bu verileri toplamasının nedeninin bu olmadığını düşünmek için birkaç neden olduğunu söyledi.
Birincisi, Apple uygulama geliştiricilerine ayrıntıları verir Bildirimlerle ilgili neler olup bittiğini doğrudan öğrenin; dolayısıyla kullanıcılarınıza ping attıktan sonra ne olduğunu biliyorsanız ek bilgi toplamanıza gerek kalmaz. Ayrıca Mysk, uygulamaların topladığı verilerin çoğunun, telefonunuzun kullanılabilir disk alanı veya son yeniden başlatmanızdan bu yana geçen süre gibi bildirimlerin ne kadar iyi çalıştığını analiz etmeyle ilgisiz göründüğünü söyledi.
Bunun ötesinde, verilere aç olan diğer şirketler, tüm bu diğer bilgilere bayılmadan bildirim gönderiyorlar. Örneğin Mysk, Gmail ve YouTube’u test ettiğinde uygulamalar yalnızca bildirimlerin işlenmesiyle ilgili olduğu açıkça görülen verileri topladı. Mysk, Google gibi bir şirketin diğer ayrıntıları gözetlemeden size bildirim gönderebilmesinin, tespit ettiği veri toplamanın art niyetli olduğunu gösterdiğini söyledi.
Bildirim verileri sorununa ilişkin potansiyel olarak masum birkaç açıklama vardır. Örneğin, geliştiriciler bazen şirketlerin artık ihtiyaç duymadığı işlevleri yerine getiren eski kodları uygulamalarında bırakırlar. LinkedIn gibi bir uygulamanın hiçbir amaçla kullanılmayan verileri toplamak üzere ayarlanmış olması teorik olarak mümkündür. Ancak araştırmacılar buna inanmanın zor olduğunu söyledi.
Mysk, “Tıpkı bir yığın bıçak toplamak gibi” dedi. “Bu mutlaka insanları öldürdüğünüz anlamına gelmiyor. Belki sadece akşam yemeği servisi yapıyorsundur.”
iPhone işletim sisteminin kurallarında durumu iyileştirebilecek bir değişiklik yakında yapılacak, ancak bunun sorunu çözüp çözmeyeceği belli değil. 2024 Baharından itibaren uygulama geliştiricileri açıklamak gerekli Bu bağlamda, aslında uygulamaların birbiriyle ve iPhone işletim sistemiyle iletişim kurmak için kullandığı yazılım parçaları olan belirli “API’leri” neden ve nasıl kullandıklarını araştırıyoruz.
Teorik olarak bu, şirketleri neden sizi takip ettiklerini açıklamaya zorlayabilir ve eğer gayri meşru amaçlarla veri topluyorlarsa belki de buna son vermek zorunda kalabilirler. Mysk, “Kötü haber şu ki Apple’ın bunu nasıl uygulayacağı belli değil” dedi.
Ne yazık ki büyük şirketlerin bazen yalan söylediğini duymuşsunuzdur, bu da çözümün önüne geçebilir ve Apple mükemmel bir geçmiş performansı yok benzer kuralların uygulanmasını sağlamak.