Bir Android uygulamasına sizin telefonunuzu takip etmesi için izin vermezseniz, bunun için gerekli olan imkanlara erişemeyeceğini düşünürsünüz. Ancak araştırmacılar, binlerce uygulamanın Android’in izinler sisteminin etrafından dolaşacak yollar bulduğunu söylüyor. Bu durumda uygulamalar, cihazınızın eşsiz kimliğini belirleme ve konumunuzu ortaya çıkaracak yeterli veriyi elde etme gibi imkanları buluyor.
Bir uygulama sizden kişisel bilgilerinize erişim hakkı istediği zaman “hayır” deseniz bile, bu cevap yeterli olmayabiliyor. İzinlerine onay verdiğiniz ikinci bir uygulama diğer uygulamayla bilgi paylaşımında bulunabiliyor ya da onları başka bir uygulamayla kullanılan ortak depolama alanında bırakabiliyor. Başka bir uygulama ki, muhtemelen kötü niyetlidir, bu bilgileri okuyabiliyor.
İki uygulama birbiriyle bağlantılı görünmeyebilir, ancak araştırmacılar bunların aynı yazılım geliştirme araç setlerini (SDK) kullandığı için o veriye erişebileceklerini belirtiyor. Ayrıca SDK sahiplerinin de veriyi aldıklarına dair kanıtlar da bulunuyor. Bu durumu annesinden şeker isteyip “hayır” cevabı alan çocuğun babasından da izin istemesi şeklinde açıklayabiliriz.
PrivacyCon 2019 etkinliğinde sunulan bir çalışmaya göre, Samsung ve Disney gibi, yüz milyonlarca kez indirilmiş uygulamalardan bahsediyoruz. Bunlar Çinli arama devi Baidu ve Salmonads adlı bir veri analiz şirketi tarafından inşa edilmiş yazılım geliştirme araç setlerini kullanıyor. Bu durumda veri, öncelikle telefonda depolanarak, sonrasında da bir uygulamadan diğerine, ya da onların sunucularına geçirilerek paylaşılıyor. Araştırmacılar, Baidu SDK’yı kullanan bazı uygulamaların kendi kullanımı için bu veriye sessiz biçimde erişmeye çalıştığını görmüş.
Araştırmacı ekibi aynı zamanda birtakım yan kanal hassasiyetlerine de rastlamış. Bunlardan bazıları ağ yongasının ve yönlendiricisinin eşsiz MAC adreslerini ya da kablosuz erişim noktalarını, bunlarını adlarını ve daha birçok bilgiyi başka noktalara gönderebiliyor. PrivacyCon’da araştırmanın sunumunu gerçekleştiren, Uluslararası Bilgisayar Bilimleri Enstitüsü (ICSI) Kullanılabilir Güvenlik ve Gizlilik Grubu Araştırma Direktörü Serge Egelman, yukarıda saydığımız bilgilerin konum verilerinin elde edilmesi için gerekli olduğu yaygın şekilde bilinen unsurlar olduğunun altını çiziyor.
Araştırmada Shutterfly adlı fotoğraf uygulaması örnek olarak gösteriliyor. Bu uygulamanın kullanıcının gerçek GPS koordinatlarını konum izleme iznini elde etmeden sunucularına gönderdiğini belirtiyor. Uygulama konum verilerini fotoğraflarınızda yer alan EXIF meta verilerinden alıyor. CNET’e açıklama yapan Shutterfly ise, bu verileri izinsiz topladığına dair iddiaları reddetti.
Araştırmacılar, Android Q’nun bu sorunların bazılarına çözüm bulacağını söylüyor. Ayrıca Google’ı da geçtiğimiz eylül ayında bu hassasiyetlerle ilgili olarak bilgilendirdiklerini ekliyor. Ne var ki, Android Q güncellemesi alamayacak birçok mevcut nesil Android telefonu için bu bir çözüm olmayacak. Üstelik Android Q güncellemesinin yayılma hızı mevcut en son sürüm gibi yavaş olacaktır. Mayıs ayı itibarıyla, Android cihazlarının sadece yüzde 10.4’lük kısmında Android P yüklü durumda bulunuyor. Yüzde 60’ın üstündeki cihazda ise neredeyse üç yaşına gelmiş olan Android N sürümü çalışıyor.
Google’ın daha fazlasını yapması gerektiği de araştırmacılar tarafından dile getiriliyor. Belki güvenlik güncellemeleriyle hızlı çözümler sunulabilir. Çünkü bu koruma sadece yeni bir telefon satın almış olan kullanıcılara sunulmamalı. Egelman, Google’ın gizliliğin bir lüks ürünü olmamasına yönelik düşüncesini hatırlatıyor, ancak burada biraz daha farklı bir durum söz konusu olduğunu da dile getiriyor.
Google ise, The Verge sitesine verdiği bilgide Android Q’nun fotoğraf uygulamalarından konum bilgilerini otomatik olarak saklayacak biçimde geleceğini kaydetti. Aynı zamanda fotoğraf uygulamalarının Play Store’a konum meta verilerine erişme yeteneklerinin olup olmadığını da beyan etmelerinin gerekeceğini söyledi.