Gizlilik
Muhtemelen akıllı telefonlarımızın her zaman bizi dinlediği söylentisini duymuşsunuzdur. Ancak gerçek şu ki, buna ihtiyaçları yok. Oyunlardan hava durumu uygulamalarına kadar akıllı telefonunuzdaki neredeyse her uygulamanın veri simsarlarıyla paylaştığı bilgiler, hakkınızda ayrıntılı bir profil oluşturmak için fazlasıyla yeterli. “Çevrimiçi izleme” uzun bir süre boyunca arama motorlarının, reklam sistemlerinin ve reklamcıların hangi web sitelerini ziyaret ettiğinizi bildiği anlamına geliyordu, ancak akıllı telefonlar sahneye çıktığından beri durum çok daha kötü hale geldi: Artık reklamcılar fiziksel olarak nereye ve ne sıklıkla gittiğinizi biliyor. Peki bunu nasıl yapıyorlar?
Herhangi bir mobil uygulama, bir reklam göstermeye her hazırlandığında, akıllı telefonunuzdan gönderilen verilere dayanarak hangi reklamı göreceğinizi belirlemek için yıldırım hızında bir açık artırma gerçekleşir. Her ne kadar siz sadece kazanan reklamı görseniz de, açık artırmadaki tüm katılımcılar potansiyel izleyiciye, yani size ilişkin verileri alır. Yakın zamanda yapılan bir deney, kaç şirketin bu bilgileri aldığını, alınan bilgilerin ne kadar ayrıntılı olduğunu ve ” Takip Etme” ve “Kişiselleştirilmiş Reklamlardan Vazgeç” gibi yerleşik akıllı telefon özelliklerinin kullanıcıları korumada ne kadar etkisiz olduğunu gösterdi. Yine de bazı korunma yöntemleri öneriyoruz!
Reklamverenler hangi verileri alıyor?
Her mobil uygulama farklı şekilde oluşturulur, ancak çoğu, herhangi bir reklam göstermeden önce bile reklam ağlarına veri “sızdırmaya” başlar. Daha önce bahsedilen deneyde, bir mobil oyun başlatıldığında Unity Ads ağına hemen kapsamlı bir veri dizisi gönderdi:
- İşletim sistemi sürümü, pil seviyesi, parlaklık ve ses ayarları ve kullanılabilir bellek dahil olmak üzere akıllı telefon hakkında bilgiler
- Şebeke operatörü hakkında veriler
- İnternet bağlantısı türü
- Cihazın tam IP adresi
- Satıcı kodu (oyun geliştiricisinin tanımlayıcısı)
- Benzersiz kullanıcı kodu (IFV): Oyun geliştiricisine bağlı olan ve bir reklam sistemi tarafından kullanılan bir tanımlayıcı
- Başka bir benzersiz kullanıcı kodu (IDFA/AAID): Akıllı telefondaki tüm uygulamalar tarafından paylaşılan bir reklam tanımlayıcısı
- O anki konum
- Reklam takibi için onay (evet/hayır)
İlginç bir şekilde, akıllı telefonda hizmet devre dışı bırakılsa bile konum iletilir. Gerçi bu yaklaşık bir değerdir ve IP adresine göre hesaplanır. Ancak, fiziksel ve internet adreslerini eşleştiren kamuya açık veri tabanları sayesinde, bu yaklaşık tahmin şehir bölgesine ve hatta binaya kadar şaşırtıcı derecede doğru olabilir. Uygulama için konum hizmetleri etkinleştirilir ve izin verilirse, kesin konum verileri iletilir.
Aynı deneyde, deneyin yazarı böyle bir onay vermemiş olsa da, reklam izleme onayı “Kullanıcı Kabul Etti” olarak işaretlenmiştir.
Verileri kim ve ne sıklıkla alıyor?
Veri akışı, uygulamaya entegre edilmiş tüm reklam platformlarına gönderilir. Genellikle böyle birkaç platform vardır ve reklamı göstermek için hangisinin kullanılacağını karmaşık bir algoritma belirler. Ancak bazı veriler, o anda reklam göstermeyenler de dahil olmak üzere tüm bağlı ağlarla paylaşılır. Yukarıda bahsedilen Unity’ye (reklam platformu bu oyun motorunu kullanan geliştiriciler için gelirin %66’sını oluşturmaktadır) ek olarak, diğer büyük platformlar arasında Facebook, Microsoft, Google, Apple, Amazon ve ironSource gibi düzinelerce özel şirket bulunmaktadır.
Ardından, şu anda uygulamada reklam gösteren reklam ağı, gerçek zamanlı teklif verme sistemine (RTB) kapsamlı bir kullanıcı verileri seti gönderir. Burada, çeşitli reklamverenler verileri analiz eder ve reklamlarını görüntülemek için yıldırım hızında teklif verirler. Kazanan reklamı görüntülersiniz, ancak konumunuzla ilgili bilgiler, tam saat, IP adresi ve diğer tüm verilerle birlikte açık artırmaya katılan her tarafla paylaşılır. Deneyin yazarına göre bu veriler, bazıları istihbarat teşkilatlarına ait paravan şirketler olabilecek yüzlerce belirsiz firma tarafından toplanıyor.
Deneyden alınan bu video, reklam sunucularına saniyede onlarca kez nasıl bağlantı kurulduğunu ve deneycinin akıllı telefonunda hiçbir Meta uygulaması yüklü olmamasına rağmen Facebook’un bile veri aldığını gösteriyor.
Anonimlik yanılsaması
Reklam ağı sahipleri, reklam hedeflemesi için anonim ve kişiselleştirilmemiş veriler kullandıklarını iddia etmeyi severler. Gerçekte, reklam sistemleri farklı uygulama ve cihazlardaki kullanıcıları doğru bir şekilde tanımlamak için büyük çaba sarf etmektedir.
Yukarıda bahsedilen veri setinde iki farklı kullanıcı kodu listelenmiştir: IFV ve IDFA/AAID (Apple için IDFA, Android için AAID). Her uygulama geliştiricisi tarafından cihazınıza ayrı bir IFV atanır. Aynı geliştiriciye ait üç oyununuz varsa, bu oyunların her biri reklam gösterirken aynı IFV’yi gönderecektir. Bu arada, diğer geliştiricilerin uygulamaları da kendi IFV’lerini gönderecektir. IDFA/AAID ise akıllı telefonun tamamına atanan benzersiz bir reklam tanımlayıcısıdır. Telefonunuzun ayarlarında “reklam kişiselleştirmeyi” kabul ettiyseniz, cihazınızdaki tüm oyunlar ve uygulamalar aynı IDFA/AAID’yi kullanacaktır.
Reklam kişiselleştirmeyi devre dışı bırakırsanız veya izni reddederseniz, IDFA/AAID sıfırlarla değiştirilir ancak IFV’ler gönderilmeye devam eder. Reklam ağları; her bir reklam gösterimi ile iletilen verileri birleştirerek, “anonim” kullanıcılar hakkında ayrıntılı bir dosya oluşturabilir ve bu tanımlayıcılar aracılığıyla farklı uygulamalardaki etkinliklerini birbirine bağlayabilir. Kullanıcı e-posta adresini, telefon numarasını, ödeme bilgilerini veya ev adresini herhangi bir yere girer girmez – örneğin çevrimiçi bir satın alma işlemi yaparken – anonim tanımlayıcı bu kişisel bilgilerle ilişkilendirilebilir.
Gravy Analytics veri sızıntısıyla ilgili makalemizde de belirttiğimiz gibi, konum verileri o kadar değerlidir ki, reklam aracısı gibi görünen bazı şirketler yalnızca bu verileri toplamak için kurulmuştur. IFV – özellikle de IDFA/AAID – sayesinde “Bay X”in hareketlerinin haritasını çıkarmak ve çoğu zaman sadece bu verileri kullanarak onu anonimleştirmek mümkündür.
Bazen karmaşık hareket analizleri gerekli bile değildir. Reklam tanımlayıcılarını; tam adlara, ev adreslerine, e-postalara ve diğer son derece kişisel ayrıntılara bağlayan veritabanları, vicdansız simsarlar tarafından kolayca satılabilir. Bu gibi durumlarda, ayrıntılı kişisel veriler ve kapsamlı bir konum geçmişi, kullanıcı hakkında eksiksiz bir dosya oluşturur.
Kendinizi reklam izlemesine karşı nasıl korursunuz?
Uygulamada, ne GDPR gibi katı yasalar ne de yerleşik gizlilik ayarları, yukarıda açıklanan izleme yöntemlerine karşı tam koruma sağlar. Reklam kişiselleştirmesini devre dışı bırakmak için bir uygulamada bir düğmeye basmak yarım bir önlem bile değil, daha çok bir önlemin onda biri gibi bir şeydir. Gerçek şu ki, bu işlem telemetri verilerinden yalnızca bir tanımlayıcıyı kaldırırken, verilerinizin geri kalanı hala reklamverenlere gönderilmeye devam eder.
Gravy Analytics veri sızıntısı ve Datastream veri aracısının karıştığı skandal gibi vakalar sorunun boyutunu göstermektedir. Reklam izleme endüstrisi çok büyüktür ve sadece oyunları değil, çoğu uygulamayı istismar eder. Dahası, konum verileri reklam şirketlerinden istihbarat kurumlarına kadar çok çeşitli kuruluşlar tarafından satın alınmaktadır. Bazen, bir veri aracısı veritabanlarını yeterince koruyamazsa, bilgisayar korsanları bu bilgileri ücretsiz olarak elde eder. Verilerinizin bu tür sızıntılara maruz kalmasını en aza indirmek için bazı önemli önlemler almanız gerekir:
- Konum erişimine yalnızca birincil işlevleri için gerçekten ihtiyaç duyan uygulamalar için izin verin (mesela navigasyon uygulamaları, haritalar veya taksi hizmetleri). Örneğin, bırakın oyunları veya alışveriş uygulamalarını, teslimat hizmetleri veya bankacılık uygulamaları bile çalışmak için konumunuza ihtiyaç duymaz. Her zaman manuel olarak bir teslimat adresi girebilirsiniz.
- Genel olarak, uygulamalara gerekli minimum izinleri verin. Diğer uygulamalardaki aktivitelerinizi takip etmelerine izin vermeyin ve fotoğraf galerinize tam erişim izni vermeyin. Zira yapay zeka kullanarak fotoğraf verilerini analiz edebilen kötü amaçlı yazılımlar geliştirildi ve kötü niyetli uygulama geliştiricileri de potansiyel olarak aynı şeyi yapabilir. Ayrıca, akıllı telefonunuzda çekilen tüm fotoğraflar, diğer bilgilerin yanı sıra varsayılan olarak coğrafi etiketler içerir.
- Akıllı telefonunuzda reklam filtreleme işlevine sahip güvenli bir DNS hizmeti yapılandırın. Bu, önemli miktarda reklam telemetrisini engelleyecektir.
- Reklam içermeyen uygulamaları kullanmaya çalışın. Bunlar genellikle ya FOSS (Ücretsiz Açık Kaynak Yazılım) uygulamaları ya da ücretli uygulamalardır.
- iOS’ta, reklam tanımlayıcısının kullanımını devre dışı bırakın. Android’de ayda en az bir kez silin veya sıfırlayın (ne yazık ki tamamen devre dışı bırakılamaz). Unutmayın, bu eylemler hakkınızda toplanan bilgi miktarını azaltır ancak izlemeyi tamamen ortadan kaldırmaz.
- Mümkünse, uygulamalarda “Google ile oturum açın” veya diğer benzer hizmetleri kullanmaktan kaçının. Hesap oluşturmadan uygulamaları kullanmayı deneyin. Bu, reklamverenlerin, farklı uygulama ve hizmetlerdeki faaliyetlerinizi birleşik bir reklam profilinde harmanlamasını zorlaştırır.
- Akıllı telefonunuzdaki uygulama sayısını en aza indirin ve kullanılmayan uygulamaları düzenli olarak silin. Bunlar, aktif olarak kullanmıyor olsanız bile, sizi izleyebilirler.
- Tüm cihazlarınızda Kaspersky Premium gibi güçlü güvenlik çözümleri kullanın. Bu, sizi casus yazılımlar kadar zararlı olabilecek reklam modülleri gibi daha agresif uygulamalardan korumaya yardımcı olur.
- Akıllı telefonunuzdaki Kaspersky ayarlarında, iOS’ta Reklam Engelleyici ve Özel Tarama seçeneklerini veya Android’de Güvenli Tarama‘yı etkinleştirin. Bu, sizi takip etmeyi çok daha zor hale getirir.
Akıllı telefon gözetimi sizi henüz ilgilendirmiyorsa, işte bizi kimin, nasıl gözetlediğine dair bazı tüyler ürpertici hikayeler:
İpuçları