Facebook ve Instagram, uygulama içi tarayıcılardaki süreçleri adım adım takip ediyormuş Eğer Facebook ve Instagram’da gördüğünüz bir web sitesini ziyaret ederseniz, tercih ettiğiniz tarayıcıya değil, özel bir uygulama içi tarayıcıya yönlendirildiğinizi fark etmişsinizdir. Araştırmacı Felix Krause, bu tarayıcıların ziyaret edilen her web sitesine javascript kodunu enjekte ederek ana firma Meta’nın sizi web sitelerinde potansiyel olarak izlemesine müsaade verdiğini keşfetti.
Krause’ın bir blog yazısında dediğine nazaran “Instagram uygulaması, reklamlara tıklandığında, dokunulan her düğme ve irtibat üzere tüm kullanıcı etkileşimlerini, metin seçimlerini, ekran imgelerini ve ayrıyeten şifreler, adresler ve kredi kartı numaraları üzere rastgele bir form girişini izlemelerini sağlamak dahil, izleme kodunu gösterilen her web sitesine enjekte ediyor.”
Krause’ın araştırması, Facebook ve Instagram’ın iOS sürümlerine odaklanıyordu. Apple’ın, kullanıcıların bir uygulamayı birinci açtıklarında iOS 14.5’te sunulan Uygulama İzleme Şeffaflığı (ATT) aracılığıyla uygulama izlemeyi etkinleştirmelerine yahut uygulamadan çıkmalarına müsaade vermesi sebebiyle bu araştırma farklı bir kıymet taşıyor. Meta daha evvel bu özelliği “2022 çalışmalarımızda 10 milyar dolarlık zıt bir rüzgar” olarak tanımlamıştı.
Meta, enjekte edilen izleme kodunun, kullanıcıların ATT’deki tercihlerine uyduğunu söylemiş oldu. The Guardian’a konuşan bir sözcü, “Kod, hedeflenen reklamcılık yahut ölçüm gayeleri için kullanmadan evvel kullanıcı datalarını toplamamıza müsaade veriyor” dedi ve devam etti: “Herhangi bir piksel eklemiyoruz. Piksellerden dönüşüm olaylarını toplayabilmemiz için kod enjekte ediliyor. Uygulama içi tarayıcı aracılığıyla yapılan satın alma süreçleri için, otomatik doldurma emeliyle ödeme ayrıntılarını kaydetmek için kullanıcıdan onay istiyoruz.“
Krause, Facebook’un javascript enjeksiyonunu hassas bilgileri toplamak için kullanmadığını belirtti. Fakat, uygulamalar Safari yahut Firefox üzere kullanıcıların tercih ettiği bir tarayıcıyı açtığında, rastgele bir inançlı siteye emsal bir javascript enjeksiyonu yapmanın bir yolu bulunmuyor. Buna karşılık, Instagram ve Facebook uygulama içi tarayıcıları tarafınca kullanılan yaklaşım “şifreli olsun ya da olmasın rastgele bir web sitesi için çalışıyor” diyor.
Krause’nin araştırmasına bakılırsa WhatsApp, üçüncü taraf web sitelere misal bir değişiklik yapmıyor. Bu niçinle, Meta’nın Facebook ve Instagram’da da tıpkı şeyi yapmasını yahut temasları açmak için Safari yahut öteki bir tarayıcı kullanımını öneriyor: “Kullanıcı için en yeterlisi ve yapılması gereken hakikat şey bu.“
Krause’ın bir blog yazısında dediğine nazaran “Instagram uygulaması, reklamlara tıklandığında, dokunulan her düğme ve irtibat üzere tüm kullanıcı etkileşimlerini, metin seçimlerini, ekran imgelerini ve ayrıyeten şifreler, adresler ve kredi kartı numaraları üzere rastgele bir form girişini izlemelerini sağlamak dahil, izleme kodunu gösterilen her web sitesine enjekte ediyor.”
Krause’ın araştırması, Facebook ve Instagram’ın iOS sürümlerine odaklanıyordu. Apple’ın, kullanıcıların bir uygulamayı birinci açtıklarında iOS 14.5’te sunulan Uygulama İzleme Şeffaflığı (ATT) aracılığıyla uygulama izlemeyi etkinleştirmelerine yahut uygulamadan çıkmalarına müsaade vermesi sebebiyle bu araştırma farklı bir kıymet taşıyor. Meta daha evvel bu özelliği “2022 çalışmalarımızda 10 milyar dolarlık zıt bir rüzgar” olarak tanımlamıştı.
Meta, enjekte edilen izleme kodunun, kullanıcıların ATT’deki tercihlerine uyduğunu söylemiş oldu. The Guardian’a konuşan bir sözcü, “Kod, hedeflenen reklamcılık yahut ölçüm gayeleri için kullanmadan evvel kullanıcı datalarını toplamamıza müsaade veriyor” dedi ve devam etti: “Herhangi bir piksel eklemiyoruz. Piksellerden dönüşüm olaylarını toplayabilmemiz için kod enjekte ediliyor. Uygulama içi tarayıcı aracılığıyla yapılan satın alma süreçleri için, otomatik doldurma emeliyle ödeme ayrıntılarını kaydetmek için kullanıcıdan onay istiyoruz.“
Krause, Facebook’un javascript enjeksiyonunu hassas bilgileri toplamak için kullanmadığını belirtti. Fakat, uygulamalar Safari yahut Firefox üzere kullanıcıların tercih ettiği bir tarayıcıyı açtığında, rastgele bir inançlı siteye emsal bir javascript enjeksiyonu yapmanın bir yolu bulunmuyor. Buna karşılık, Instagram ve Facebook uygulama içi tarayıcıları tarafınca kullanılan yaklaşım “şifreli olsun ya da olmasın rastgele bir web sitesi için çalışıyor” diyor.
Krause’nin araştırmasına bakılırsa WhatsApp, üçüncü taraf web sitelere misal bir değişiklik yapmıyor. Bu niçinle, Meta’nın Facebook ve Instagram’da da tıpkı şeyi yapmasını yahut temasları açmak için Safari yahut öteki bir tarayıcı kullanımını öneriyor: “Kullanıcı için en yeterlisi ve yapılması gereken hakikat şey bu.“