Siber güvenlik araştırmacıları tarafından yapılan yakın tarihli bir soruşturma, teknoloji devleri Meta (eski adıyla Facebook) ve YanEx’in Android işletim sisteminin temel bir tasarım özelliğini – uygulamaların yerel portlarda dinleme yeteneğinden – gizlice izleme ve gerçek kimliklerine bağlama yeteneğinin kullandığını ortaya koydu.
Keşif, önemli gizlilik endişelerini artırdı ve tarayıcı geliştiricilerinden ve platform sahiplerinden hızlı eylemlere yol açtı.
İzleme mekanizması nasıl çalışır
İzleme tekniği, bir cihazın kendisiyle iletişim kurmasına izin veren “localhost” veya geri döngü arayüzünün (127.0.0.1) kullanımına odaklanır.
.png
)
Android’de, İnternet iznine sahip herhangi bir uygulama, geri döngü arayüzünde bir dinleme soketi açabilir.
Bu özellik genellikle geliştiriciler tarafından hata ayıklama gibi meşru amaçlar için kullanılır, ancak Meta ve Yandex bunu kullanıcı izleme için yeniden kullanır.
Bir kullanıcı, meta piksel veya Yandex Metrica izleme komut dosyasını yerleştiren bir web sitesini ziyaret ettiğinde, bu javascripts tarayıcıda yüklenir ve aynı cihazda çalışan yerel uygulamalara sessizce bağlanır.
Facebook, Instagram, Yandex Haritalar ve Yandex tarayıcısı gibi yerel uygulamalar bu bağlantılar için belirli bağlantı noktalarını dinler.
Örneğin, meta uygulamalar UDP bağlantı noktalarını 12580-12585’te dinlerken, Yandex uygulamaları 29009, 29010, 30102 ve 301031 TCP bağlantı noktaları kullandı.
Komut dosyaları tarayıcı meta verilerini, çerezleri ve komutları bu bağlantı noktalarına iletir. Meta durumunda, _FBP çerezi WebRTC (özellikle sersemletici ve daha sonra dönüş protokolleri) kullanılarak gönderilir ve çerez değeri SDP “ICE-ufrag” alanına eklenir.
Bu, uygulamanın çerezi almasına ve kullanıcının Web etkinliğini etkili bir şekilde anonimleştirerek kullanıcının kalıcı uygulama kimliğine bağlamasına olanak tanır.
Teknik detaylar ve risk vektörleri
İzleme yöntemi son derece sofistike ve tipik gizlilik korumalarını atlıyor. Örneğin, bir kullanıcı gizli modda olsa veya çerezlerini temizler olsa bile çalışır.
Teknik ayrıca, _FBP çerezi gibi birinci taraf çerezlerin farklı web sitelerinde kullanıcıları izlemek için kullanılmaması beklentisini de ihlal ediyor.
Bu geçici web tanımlayıcıları uzun ömürlü mobil uygulama kimliklerine bağlayarak Meta ve Yandex, bir kullanıcının tarama alışkanlıklarının kalıcı bir profilini oluşturabilir.
Ayrıca, Web-Native Kimlik Paylaşımı için HTTP isteklerinin kullanılması, kullanıcıları ek risklere maruz bırakır.
Aynı bağlantı noktalarını dinleyen herhangi bir kötü amaçlı uygulama bu istekleri kesebilir ve tarama geçmişini hasat edebilir.
Araştırmacılar bunu, özel tarama modlarında bile ziyaret edilen sitelerin URL’lerini başarıyla yakalayan bir kavram kanıtı uygulaması oluşturarak gösterdiler.
Chrome, Firefox ve Edge gibi popüler tarayıcıların savunmasız olduğu görülürken, Cesur ve DuckDuckgo blok listeye dayalı savunmaları nedeniyle büyük ölçüde korundu.
Aşağıda etkilenen Yandex uygulamalarının ve dinledikleri bağlantı noktalarının özet tablosu bulunmaktadır:
| Yandex uygulaması | Paket adı | Test edilen sürüm | Kullanılan bağlantı noktaları |
|---|---|---|---|
| Yandex haritaları | Ru.Yandex.Yandaxmaps | 23.5.0 | 29009, 30102 |
| Yandex Navigator | Ru.Yandex.Yandexnavi | 23.5.0 | 29009, 30102 |
| Yandex tarayıcı | com.Yandex.Browser | 25.4.1.100 | 29010, 30103 |
| Yandex Arama | com.yandex.searchapp | 25.41 | 29010, 30103 |
| Avrupa’da Metro – Viyana | Ru.Yandex.metro | 3.7.3 | 29009, 30102 |
| Yandex Go: Taksi Yemekleri | Ru.Yandex.taxi | 5.24.1 | 29009, 30102 |
Endüstri yanıtı ve sonraki adımlar
Bu bulguların kamuya açıklanmasının ardından, Meta ve Yandex bu izleme tekniğini kullanımını duraklatmıştır.
3 Haziran 2025 itibariyle, Meta Pixel betiği Localhost’a veri göndermeyi durdurdu ve izleme kodu büyük ölçüde kaldırıldı.
Yandex de uygulamayı durdurdu.
Meta, herhangi bir politika sorununu çözmek için Google ile birlikte çalıştığını ve tartışmalar devam ederken özelliği duraklattığını belirtti.
Tarayıcı satıcıları karşı önlemler uygulayarak yanıt verdi. 26 Mayıs 2025’te piyasaya sürülen Chrome sürümü 137, istismar edilen bağlantı noktalarını engeller ve meta piksel tarafından kullanılan SDP munging formunu devre dışı bırakır.
Firefox, 139 sürümündeki ilgili bağlantı noktalarını engellemeyi planlıyor.
Brave ve DuckDuckgo zaten korumaya sahiptir, cesur bir blok listesi kullanarak Localhost iletişim ve DuckDuckgo için kullanıcı onayı gerektirir.
Bu kısa vadeli düzeltmelere rağmen, araştırmacılar daha geniş platform düzeyinde değişikliklere olan ihtiyacı vurgulamaktadır.
Localhost erişimi, daha katı platform politikaları ve Android’in konumlar arası iletişim mekanizmaları etrafında gelişmiş güvenlik için daha güçlü kullanıcıya bakan kontroller önerirler.
Bu yeni izleme yönteminin keşfi, kullanıcı gizliliğini modern işletim sistemlerinin teknik yetenekleriyle dengelemede devam eden zorlukları vurgulamaktadır.
Meta ve Yandex şimdilik faaliyetlerini duraklatmış olsa da, olay, kullanıcıları giderek daha karmaşık bir şekilde izleme biçimlerinden korumak için sürekli uyanıklık ve proaktif güvenlik önlemlerine duyulan ihtiyacın altını çiziyor.
Aniketh Girish, Gunes Acar, Narseo Vallina-Rodriguez, Nipuna Weerasekara ve Tim Vlummens dahil olmak üzere araştırma ekibi, kullanıcı verilerinin gelecekte yanlış kullanılmamasını sağlamak için teknoloji şirketlerinden ve platform sağlayıcılarından daha fazla şeffaflık ve hesap verebilirlik çağrısında bulundu.
Siber güvenlik becerilerinizi yükseltmek için 150’den fazla pratik siber güvenlik kursuyla elmas üyeliği alın – buraya kaydolun