Kötü Niyetli Saldırı Kapsamında...
Araştırmaya göre Meta, kullanıcılarını izlemek için web sitelerine kod enjekte ediyor…
Eski bir Google mühendisine göre Facebook ve Instagram’ın sahibi, uygulamalarındaki bağlantılara tıklayanları takip etmek için kod kullanıyor…
Eski bir Google mühendisinin yeni araştırmasına göre, Facebook ve Instagram‘ın sahibi Meta, kullanıcılarının ziyaret ettiği web sitelerini yeniden yazarak, uygulamalarında bağlantılara tıkladıktan sonra şirketin onları web üzerinden takip etmesine izin veriyor.
İki uygulama, bağlantılara tıklayan kullanıcıların Safari ya da Firefox gibi kullanıcının tercih ettiği web tarayıcısına gönderilmek yerine Facebook ya da Instagram tarafından kontrol edilen bir “uygulama içi tarayıcıda" web sayfalarına yönlendirilmesinden faydalanıyor.
2017’de Google tarafından satın alınan bir uygulama geliştirme aracı kuran gizlilik araştırmacısı Felix Krause, “Instagram uygulaması, reklamlara tıklama da dahil olmak üzere gösterilen her web sitesine izleme kodunu enjekte ederek, dokunulan her düğme ve bağlantı, metin seçimleri, ekran görüntüleri gibi tüm kullanıcı etkileşimlerinin yanı sıra şifreler, adresler ve kredi kartı numaraları gibi tüm form girişlerini izlemelerine – olanak – sağlıyor" diyor.
Meta yaptığı açıklamada, izleme kodunun enjekte edilmesinde kullanıcıların uygulamaların kendilerini takip etmesine izin verip vermeme konusundaki tercihlerine uyulduğunu ve bu tür bir izlemeyi devre dışı bırakan kullanıcılar için hedefli reklam veya ölçüm amaçları için uygulanmadan önce yalnızca veri toplamak için kullanıldığını söyledi.
Bir sözcü, “Bu kodu kasıtlı olarak insanların platformlarımızdaki – Takip etmeyi iste – tercihlerini onurlandırmak için geliştirdik" dedi. “Kod, kullanıcı verilerini hedefli reklam veya ölçüm amacıyla kullanmadan önce bir araya getirmemizi sağlıyor. Herhangi bir piksel eklemiyoruz. Kod, dönüşüm olaylarını piksellerden toplayabilmemiz için enjekte ediliyor."
“Uygulama içi tarayıcı üzerinden yapılan satın alımlarda, otomatik doldurma amacıyla ödeme bilgilerini kaydetmek için kullanıcı onayı istiyoruz."
Krause, tarayıcı tarafından bir web sitesine eklenen tüm ekstra komutları listeleyebilen bir araç oluşturarak kod enjeksiyonunu keşfetti. Normal tarayıcılar ve çoğu uygulama için araç hiçbir değişiklik tespit etmiyor, ancak Facebook ve Instagram için uygulama tarafından eklenen 18 satıra kadar kod buluyor. Bu kod satırları, belirli bir çapraz platform izleme kitini tarıyor gibi görünüyor ve yüklü değilse, bunun yerine şirketin bir kullanıcıyı web’de takip etmesine ve ilgi alanlarının doğru bir profilini oluşturmasına olanak tanıyan bir izleme aracı olan Meta Pixel‘i çağırıyor.
Şirket, web sayfalarını bu şekilde yeniden yazdığını kullanıcıya açıklamıyor. Krause‘nin araştırmasına göre WhatsApp‘ın uygulama içi tarayıcısına böyle bir kod eklenmiyor.
“Javascript enjeksiyonu" – kullanıcıya gösterilmeden önce bir web sayfasına ekstra kod ekleme uygulaması – sıklıkla bir kötü niyetli saldırı türü olarak sınıflandırılır. Örneğin siber güvenlik şirketi Feroot bunu “tehdit aktörünün web sitesini veya web uygulamasını manipüle etmesine ve kişisel olarak tanımlanabilir bilgiler (PII) veya ödeme bilgileri gibi hassas verileri toplamasına olanak tanıyan" bir saldırı olarak tanımlıyor.
Meta‘nın Javascript enjeksiyonunu bu tür hassas verileri toplamak için kullandığına dair bir öneri yok. Şirketlerin Instagram ve Facebook‘taki kullanıcılara reklam vermelerine yardımcı olmak için genellikle gönüllü olarak web sitelerine eklenen Meta Pixel‘in açıklamasında, aracın “web sitenizdeki ziyaretçi etkinliğini izlemenize olanak tanıdığı" ve ilişkili verileri toplayabileceği belirtiliyor.
Facebook‘un bağlantıları tıkladıktan sonra kullanıcıları izlemek için kod enjekte etmeye ne zaman başladığı belli değil. Son yıllarda şirket, uygulama geliştiricilerinin kullanıcıları uygulamalar arasında izlemek için izin istemeleri zorunluluğunu getirmesinin ardından Apple ile kamuoyu önünde gürültülü bir çekişme yaşadı. Meta‘ya göre, bu uygulamanın başlamasının ardından birçok Facebook reklamvereni sosyal ağdaki kullanıcıları hedefleyemez hale geldi ve sonuçta 10 milyar dolarlık gelir kaybına ve bu yılın başlarında şirketin hisse fiyatında %26’lık bir düşüşe neden oldu.