Facebook, Google vs. gibi mobil uygulamalar ve online hizmetler ücretsiz olabilir ama gizliliğimizi gözü doymak bilmez reklam ağlarıyla tehlikeye atıyorlar.
Geçtiğimiz günlerde Georgia Institute of Technology Bilgisayar Bilimleri Bölümü’nde yapılan bir araştırma kullanıcıların ücretsiz mobil uygulamalar için ne miktarda verilerini verdiklerini gözler önüne serdi.
Araştırmacıların The Price of Free: Privacy Leakage in Personalized Mobile In-App Ads (Ücretsizin Bedeli: Kişiselleştirilmiş Mobil Uygulama İçi Reklamlardan Kişisel Bilgi Sızışı) başlıklı makalelerinde de ifade ettikleri üzere, uygulama içi reklamlar milyonlarca mobil telefon kullanıcısının ne kadar para kazandığı, çocukları olup olmadığı, politik eğilimlerinin ne olduğu gibi oldukça kişisel bilgilerini sızdırmakta.
– Mobil uygulama geliştiricileri uygulamalarına reklam kabul ediyorlar.
– Reklam ağları bu reklamları göstermeleri ve kullanıcı aktivitelerini takip etmeleri için uygulama geliştiricilerine bir ücret ödüyor. Uygulama listeleri, cihaz modelleri, jeolokasyonlar gibi bilgiler reklamcıların reklamlarını koyacakları yerleri belirlemelerini sağlıyor.
– Reklamcılar ağlara reklamlarını başlık hedeflemeye (mesela “Otomobiller ve Taşıtlar”), ilgi hedeflemeye ve demografik hedeflemeye (mesela tahmini yaş aralığı) göre yayınlamaları yönünde tavsiyelerde bulunuyor.
– Reklam ağı reklamları mobil uygulama kullanıcılarına bu bilgilere göre gösteriyor ve başarılı görüntülemeler veya tıklamalar karşılığında reklamcılardan para alıyor.
– Uygulama içi reklamlar uygulamanın grafik kullanıcı arayüzünün bir parçası olarak şifrelenmemiş şekilde gösteriliyor. Dolayısıyla, mobil uygulama geliştiricileri uygulamalarının kullanıcılarına gönderilen hedefli reklam içeriğine erişebiliyor, sonra o veriye tersine mühendislik yaparak uygulama müşterilerinin profilini oluşturuyorlar.
Araştırmacılar hangi bilgilerin sızdığını görmek için özel bir Android uygulama geliştirip 200’ün üzerinde katılımcının telefonuna yüklemişler.
Sonra, Google’ın mobil reklam ağı olan AdMob üzerinden test ziyaretçilerine gönderilen kişiselleştirilmiş reklamların kişisel ilgi alanlarına ve demografik profillerine uygun olup olmadığını test etmişler.
Araştırmacılar bildikleri kadarıyla bunun demografinin bize hangi reklamların gönderileceği hususunda anahtar bir rol oynadığı savındaki ilk çalışma olduğunu söylüyor.
Araştırma sonucunda reklamların %57’sinin kullanıcıların ilgi alanlarına uyduğu, fakat çok daha fazlasının, %73’ünün esas olarak kullanıcıların demografik bilgilerine uyduğu görüldü.
Araştırmada aynı zamanda mobil uygulama geliştiricilerinin kullanıcıların telefonlarına zorla gönderdikleri reklamlar sayesinde şunları öğrenebileceği ortaya çıktı:
– Cinsiyet, %75 isabetle
– Çocuk sahibi olup olmama, %66 isabetle
– Yaş grubu, %54 isabetle
– Gelir, politik görüş, medeni hal, rastgele tahminden daha fazla bir doğruluk payıyla
Google’ın ırk, din, cinsel yönelim, sağlık gibi bazı demografik bilgileri hassas olarak nitelendirerek reklam hedeflemede kullanılmalarını kesinlikle tasvip etmediğini de unutmamak gerekiyor.
Google’ın gizlilik ilkelerinde şu ifadeler yer almakta:
Çerezlerden ve diğer teknolojilerden toplanan bilgileri kullanıcı deneyiminizi ve sunduğumuz hizmetin kalitesini arttırmak için kullanıyoruz. Bunu kendi hizmetlerimiz için kullandığımız ürünlerden biri Google Analytics. Örneğin, dil tercihlerinizi kaydederek hizmetlerimizi tercih ettiğiniz dilde sunma imkanını buluyoruz.
Size özel reklamları gösterirken çerezler veya benzer teknolojilerle elde ettiğimiz, ırka, dine, cinsel yönelime veya sağlığa dair hassas bilgileri kullanmayacağız.
Gelgelelim uygulama içi reklamlar, kişisel bilgilerin bu reklamlara erişebilen herkese sızdırılabileceği yeni bir kanal açıyor.
Araştırmadan alıntıyla:
Bu bulgular uygulama içi reklam ayarlarında Google tarafından sunulan teminatın artık kullanıcının kişisel bilgilerinin korunmasına yetmeyeceğini, çünkü Google’ın kişiselleştirme için kullandığı kullanıcı bilgilerinin Google reklamları alan herhangi bir üçüncü tarafa yanlışlıkla sızdırılabileceğini ve Google’ın sızdırılan bu bilgilerin kullanıcıyla ilgili daha hassas bilgileri ele geçirilmesini önlemek için hiçbir şey yapamayacağını gösteriyor.
Araştırmacılar kişisel bilgilerin sızmasının temel nedeninin reklamlar ve mobil uygulamalar arasındaki güvenlik eksikliği olduğunu söylüyor. HTTPS kullanımı reklam trafiğini korumak bakımından hiçbir işe yaramıyor.
Araştırmacılar reklam kütüphanelerini reklamla ilgili kodlardan ayrı tutmak gerektiğini vurgulayan geçmiş çalışmalarında da atıfta bulunuyorlar. Öte yandan, çalışmaları uygulamanın reklam kütüphanesindeki verileri okumasını, eğer o veri reklam ağının elindeki kişisel bilgilerden derlenmişse, engellenmesi gerektiğini de gösteriyor.
Araştırmanın sonunda ise reklam sağlayıcılarının ürünlerine kullanıcının kişisel bilgilerini koruyacak savunma mekanizmaları yerleştirmeleri gerektiğini öne sürüyorlar.