Uygulama İçi Reklamlar Yoluyla Konum Takibi: Herkes Nerede Olduğumu Biliyor

• App Store ve Google Play'de bulunan 2000'den fazla uygulamanın, kullanıcı onayı olmadan konum bilgisi topladığına dair bulgular ortaya çıktı
• Bu yazının yazarı, bu konum verilerini doğrudan satın alıp kendisini takip edip edemeyeceğini test etti
• Sonuç olarak IP adresi ve konum bilgisinin pek çok yerden sızdığı, reklam protokolleri (ör. OpenRTB) üzerinden çok büyük miktarda kullanıcı verisinin dolaştığı doğrulandı
• Ancak veriyi fiilen satın almak için on binlerce ila yüz binlerce dolar düzeyinde maliyet gerekiyor ve özellikle Avrupalı kullanıcı verileri daha pahalı
• Buna rağmen, bu verilerin her yerden satın alınabildiği bir kez daha doğrulanmış oldu

Başlangıç noktası

• Deney için kullanılan iPhone 11 fabrika ayarlarına döndürüldü ve yeni bir Apple ID ile kuruldu
• Ağ trafiğini analiz etmek için Charles Proxy ve SSL sertifikası kurularak HTTPS istekleri çözümlendi
• Örnek uygulama olarak “Stack” adlı basit bir oyun seçildi; çalıştırılır çalıştırılmaz çok kısa aralıklarla çok sayıda reklam ve analiz isteği oluştu

Çok büyük sayıda istek

• Uygulama açıldıktan sadece 1 dakika sonra muazzam sayıda ağ isteği görüldü
• Her istekte konum bilgisi, IP adresi, reklam kimliği, cihaz ayrıntıları gibi çeşitli veriler yer aldı
• Tek tek incelendiğinde, kullanıcı onayı verilmese bile hassas bilgilerin birçok yere gönderildiği ortaya çıktı

Unity [ads]

• Uygulamaya Unity Ads SDK'sı entegre edilmişse, konum bilgisi ve IP adresi gibi çeşitli bilgiler Unity sunucularına gönderiliyor
• “ifv” (ID For Vendor) adlı tanımlayıcıyla birlikte Wi‑Fi bağlantısındayken konum bilgisi (boylam-enlem), zaman damgası vb. toplanıyor
• Unity, Moloco Ads gibi DSP şirketleriyle bağlantı kurduğunda, reklam teklif sürecinde bu bilgiler üçüncü taraflara kadar aktarılıyor

Facebook neden ortaya çıkıyor?

• Meta veya Facebook ile ilgili hiçbir uygulama kurulmamış olmasına rağmen, uygulama içi reklam iletişimi sırasında IP adresi ve zaman damgası Facebook'a gönderiliyor
• Facebook başka kanallar üzerinden aynı IP'yi kullanan hesabı tespit ederse, bunu kullanıcının Meta hizmetlerindeki geçmişiyle birleştirme olasılığı yüksek
• Bu durum kullanıcılara önceden düzgün biçimde bildirilmiyor ve fiilen bir onay süreci de bulunmuyor

Ekran parlaklığı neden gerekli?

• Unity Ads; ekran parlaklığı, pil durumu, bellek kapasitesi, kulaklık bağlı olup olmadığı gibi cihaz durumu bilgilerini istiyor
• Bu tür bilgiler, kişiselleştirilmiş reklamlar ve dinamik fiyat teklifleri için kötüye kullanılabilir endişesi yaratıyor
• Uber'in pil durumuna göre ücret ayarladığına dair söylentilerde olduğu gibi, teknik olarak bunun önü açık

Kimlikler hakkında

• ifv (ID for Vendor), uygulama geliştiricisi bazında verilen bir tanımlayıcıdır
• advertisingTrackingId (IDFA), aynı kullanıcının birden fazla uygulama arasında takip edilmesini sağlayan tanımlayıcıdır
• Takibi reddetme ayarı açıldığında IDFA “0000…” biçiminde verilir; ancak IP ve başka birçok kimlik bilgisi yine de gönderildiğinden fiilen dolaylı takip mümkün kalır

Takibe izin verme durumunun farkı

• Reklam takibi “izin ver” ya da “reddet” olarak ayarlansa da konum, IP ve tarayıcı bilgileri gönderilmeye devam eder
• Sadece IDFA görünmez; ancak aynı kullanıcıyı ayırt etmeye yetecek başka pek çok tanımlayıcı unsur bulunur
• Facebook gibi platformlar IP üzerinden kullanıcıyı dolaylı olarak tanımlama yeteneğine sahiptir

Veri nasıl akıyor?

• Veri, uygulama → Unity [ads] → Molocoads → reklamveren (Bwin vb.) sırasıyla aktarılıyor
• Unity gibi SSP'ler (Supply-Side Platform), uygulama içi SDK üzerinden veri topluyor; DSP (Demand-Side Platform) olan Molocoads ise buna dayanarak reklam teklifini yürütüyor
• Veri aracılığı sürecinde reklamverenlerin yanı sıra çok sayıda aracı da konum bilgisi ve cihaz bilgileri gibi verilere erişebiliyor

Veri broker'ları

• Datarade ve Databricks gibi pazarlarda, MAID (reklam kimliği) tabanlı kullanıcı konum verileri alınıp satılıyor
• Redmob gibi şirketler gerçek zamanlı konum verisi de satıyor (5 saniye içinde güncellenen)
• AGR Marketing Solutions gibi şirketler, MAID ile gerçek PII'yi (kişisel olarak tanımlanabilir bilgi) eşleştirip ad, adres, telefon numarası gibi verileri içeren veri setleri satıyor

Doğrudan kendini takip etmek

• Uygulama kurularak günlük kullanım sırasında konum bilgisinin rutin biçimde toplanması sağlanır
• IP + konum + reklam kimliği verilerini reklam şirketleri ya da broker'lar elde eder
• Ardından MAID <> PII veri seti satın alınarak kişinin kendi IDFA'sı veya IP'si temelinde gerçek kimlik bilgileriyle eşleştirme yapılır
• Sonuç olarak kullanıcı, kendi konum verisini satın alıp birleştirerek kendisini takip edebilir

Sonuç

• Küresel reklam ekosistemindeki veri ticareti, her aşama tek başına bakıldığında yasal görünebilir; ancak bütüne bakıldığında ciddi bir mahremiyet ihlali unsuruna dönüşür
• Bu sorun, yakın zamanda Gravy Analytics gibi büyük veri sızıntılarıyla yeniden gündeme geldi
• Reklam takibini reddetmek tam koruma sağlamaz
• Kullanıcıların, uygulama kullanırken bilgilerinin nereye ve nasıl aktığını bilmesinin çok zor olduğu açıkça görülüyor