Veri gizliliği, veri güvenliği, sahtekarlık yönetimi ve siber suç
Web-App boru hattı Meta Pixel ve Yandex Metrica kullanır
David Perera (@Daveperera) •
3 Haziran 2025
Amerikan sosyal medya devi meta ve Rus muadili Yandex, yeni açıklanan araştırmalarda akademisyenler, Android kullanıcıları tarafından etkinleştirilen gizlilik korumalarını kırmak için yöntemler buldu.
İzleme sistemleri, ziyaretçi metriklerini toplamak için ana web sitelerine gömülü komut dosyaları kullanır: Meta Pixel ve Yandex Metrica. Yürütmede biraz farklılık gösteren yöntemler, Web etkinliği verilerinin birleştirilebileceği ve uzak sunuculara gönderilebileceği Meta veya Yandex uygulamalarına izleme komut dosyaları içeren web sitelerinden huni çerezleri için Android izinlerinden yararlanır.
Araştırmacılar öncelikle Greater Madrid’deki bir Bilim Enstitüsü’nden Pazartesi günü, kullanıcıların gizliliğini ihlal etmenin yanı sıra, web’den uygulama izlemenin, çerez hunisini engelleyebilecek kötü niyetli bir üçüncü taraf uygulamasının kapısını açtığı konusunda uyardı.
Araştırmacı, Dünya Meta Pixel ve 3 milyona yakın web sitesinde yaklaşık altı milyon web sitesi, Yandex Metrica’yı içeriyor. Araştırmacılar, Meta’nın Eylül ayında izleme sistemini açarken, Yandex’in Şubat 2017’den beri yaptığını söyledi.
Hazırlanan bir açıklamada bir meta sözcüsü, “endişelerin farkına vardıktan sonra” izlemeyi durdurduğunu söyledi. Sözcü ayrıca sosyal medya devinin “politikalarının uygulanmasına ilişkin potansiyel bir yanlış iletişimin giderilmesi için Google ile görüşmelerde” olduğunu söyledi.
Web tarama verilerini toplamak için yerel Android uygulamalarını kullanmak, kullanıcı izin ayarları, web’e Gizli modda göz atma ve cihazın mobil reklam kimliğini sıfırlama gibi gizlilik korumalarını yener. Çerezleri silmek bile buna karşı çalışır. Araştırmacılar, Meta ve Yandex dışında başka bir şirket görmediklerini söylediler.
Toplanan veriler çok ayrıntılı, Hollanda’daki Radboud Üniversitesi Yardımcı Doçent olan Güres Acar, İspanyol gazetesi El País’e verdiği demeçte. Kullanıcıların çevrimiçi bir ürün için alışveriş yapıp yapmadığını, kullanıcı satın alma işlemini tamamladıysa veya web sitesine kaydedilmişse, ürün dijital alışveriş sepetine koyup koymadıklarını içerir. Acar, İspanyolca’dan çevrilmiş bir alıntıda, “Bir ton veri var. Temel olarak, her bir şey yaptığınızda, sunucularına gönderiyorlar. Sadece bir web sayfasına gittiğinizi bilmekten çok daha fazlası,” dedi.
ACAR, verileri iletmek için Android Internals kullanarak Meta Pixel gömülü bir web sitesi tespit ettikten sonra Madrid Bilim Enstitüsü’ndeki araştırmayı başlattı. El País’e, “Web sayfasının Facebook dahil olmak üzere çeşitli izleyicileri olduğunu biliyordum. Ama aniden yerel ev sahibi ile bir bağlantı olduğunu gördüm.” ACAR tarafından küçük bir kazma, bazı uygulama geliştiricilerinin Eylül ayında özelliği fark ettiğini ancak açıklamak için bir kayıp olduğunu buldu. Birisi, Facebook Yazılım Geliştirme Kitinin Ekim ayından itibaren Meta Pixel’den yerel ana bilgisayar çağrılarını dahil etmeye başladığını yazdı. Diyerek şöyle devam etti: “Bu konuda Meta’dan hiçbir onay gelmedi. Onlarla destek talebim genel bir yanıt aldı ve daha sonra göz ardı edildi.”
Android uygulamalarına çevrimiçi kodu köprülemek için kullanılan bir teknik meta “SDP Munging” olarak bilinir. “SDP”, akış video veya multimedya oturumları başlatmak için bir internet standardı olan oturum açıklaması protokolünü temsil eder. Yöntem, Meta’nın durumuna – ekleyerek SDP verilerini değiştirmek için JavaScript’i kullanmayı içerir. _fbp Kurabiyeyi, Instagram veya Facebook uygulamalarının belirli bağlantı noktalarındaki internet trafiğini izleyerek görebileceği bir protokol mesajına izlemek.
Google, bu yılın başlarında mobil krom tarayıcıyı bu tür SDP munging’e izin verecek şekilde değiştirdiğinde, Meta günler içinde geçici bir çözümle yanıt verdi.
Google, 26 Mayıs’ta Meta ve YanEx’in bilinen web-uygulama tekniklerini kullanmasını engelleyecek korumaları olan Android Chrome tarayıcısı için güncelleme gönderdi. Araştırmacılar, yerel ağ erişimi için bir Google teklifinin uygulanmasının, uzun vadeli bir çözümün nasıl görünmesi gerektiğini söyledi.
Araştırmacılar, benzer web’den uygulama teknikleri teorik olarak iOS cihazları, akıllı TV platformları ve masaüstleri üzerinde çalışabilir.