Meta ve Yandex, Android Açığıyla Milyonlarca Kullanıcıyı Gizlice İzledi
Android işletim sisteminde kullanıcıların gizliliğini tehlikeye atan ciddi bir açık ortaya çıktı. Meta ve Yandex, tarayıcıların güvenlik sınırlarını aşarak kullanıcıları uygulamalar üzerinden takip etti. Güvenlik araştırmacıları, bu uygulamaların kullanıcıların kimliğini tespit ettiğini ve kişisel bilgileri topladığını duyurdu. Skandalın ortaya çıkmasının ardından Meta, 3 Haziran 2025 tarihinde bu izleme yöntemini sonlandırdı.
Android’de Tarayıcı Yalıtımı Aşılarak, Kullanıcı Verileri Sızdırıldı
Android’de tarayıcıların sunduğu yalıtım mekanizması, farklı uygulamalar arasında veri geçişini engellemeyi hedefliyor. Ancak Meta ve Yandex, bu koruma katmanını aşmayı başardı. Araştırmacılar, söz konusu şirketlerin tarayıcıya yerleştirdiği özel takip pikselleriyle kullanıcıya ait benzersiz bir kimlik oluşturduğunu tespit etti. Bu kimlik, yerel ağ bağlantısı (localhost) üzerinden Facebook, Instagram veya Yandex uygulamalarına gönderildi.
Uygulamalara giriş yapmış olan kullanıcıların adı, e-posta adresi ve telefon numarası gibi kişisel bilgileri zaten sistemde kayıtlıydı. Böylece tarayıcı geçmişi, kullanıcı hesabıyla eşleştirilerek kişi bazlı detaylı takip mümkün hâle geldi.
Araştırmayı gerçekleştiren ekip; İspanya’daki IMDEA Networks Institute, Hollanda’daki Radboud Üniversitesi ve Belçika’daki Leuven Üniversitesi bünyesindeki uzmanlardan oluşuyor. Elde ettikleri bulgulara göre Meta Pixel, dünya genelinde 5,8 milyondan fazla internet sitesinde yer alıyor. Yandex Metrica ise yaklaşık 3 milyon sitede kullanılıyor.
HTTP Archive verileri de bu durumu doğruluyor. Arşivde yer alan yaklaşık 16 milyon internet sitesi arasında 2,4 milyonunda Meta Pixel, 575 bin 448’inde ise Yandex Metrica tespit edildi. Bu iki hizmet sayesinde, kullanıcılar tarayıcı ile gezinirken uygulama hesabıyla eşleştirilerek dijital olarak şeffaf hâle getirildi.
Yandex’in bu yöntemi 2017’den bu yana kullandığı belirlendi. Meta ise bu takibi Eylül 2024’te başlattı. Meta’nın 3 Haziran 2025 sabahı saat 07.45 itibarıyla izleme mekanizmasını devre dışı bıraktığı öğrenildi. Yöntemin yasa dışı yönleri tartışma konusu olurken Meta’nın Avrupa’daki düzenleyici kurumlardan ceza alması ihtimali değerlendiriliyor.
Tarayıcılar ile uygulamalar arasındaki veri alışverişi kullanıcıların bilgisi dışında gerçekleşti. Android ekosisteminde tarayıcı izolasyonuna güvenen kullanıcılar, uygulamaların bu korumayı aştığının farkında değildi. Yapılan araştırma, mobil güvenliğin yeniden gözden geçirilmesi gerektiğini gösteriyor. Özellikle takip pikselleri gibi görünmeyen araçların yaygınlığı, dijital gizlilik açısından büyük bir risk oluşturuyor.
