Herkes telefonunuzdaki tüm uygulamaları bilseydi

 (peabee.substack.com)
2 puan yazan GN⁺ 2025-03-30 | Henüz yorum yok. | WhatsApp'ta paylaş
  • Birkaç yıl öncesine kadar Android uygulamaları, kullanıcının izni olmadan yüklü tüm uygulamaların listesini görebiliyordu
  • Android 11 ile birlikte (2022'den itibaren uygulanmaya başlandı) Google, uygulama geliştiricilerinin yüklü uygulama listesine erişimini sınırlayan paket görünürlüğü politikasını devreye aldı
  • İstisna olarak dosya yöneticisi, tarayıcı, antivirüs gibi belirli işlevlerin çekirdek önemde olduğu uygulamalar QUERY_ALL_PACKAGES iznini isteyerek tüm uygulama listesini görebiliyor
  • Geliştiricilerin, kontrol etmek istedikleri uygulama listesini AndroidManifest.xml içinde açıkça belirtmesi gerekiyor

Hindistan uygulamaları yüklü uygulama listesini nasıl kullanıyor

  • Yazının yazarı, ikincil bir Android telefona çeşitli Hint uygulamaları kurup AndroidManifest.xml dosyalarını analiz etti
  • Uygulamaların çoğu, UPI ödeme uygulamaları gibi işlevlerini yerine getirmek için makul sayılabilecek uygulamaları kontrol ediyor
  • Ancak bazı uygulamalar çok fazla uygulamayı listeleyerek aşırı düzeyde bilgi topluyor

Swiggy'nin uygulama sorgu listesi

  • Swiggy tam 154 uygulama paket adını açıkça belirtmiş
  • Xbox, Playstation, Naukri, Upstox gibi yemek teslimatıyla ilgisi olmayan uygulamalar da buna dahil
  • Bu durumun, müşteri davranış verilerine dayalı kullanıcı profillemesi amacı taşıma ihtimali yüksek
  • Google politikasına göre yüklü uygulama listesi hassas kişisel veri olarak sınıflandırılıyor

Zepto'nun uygulama sorgu listesi

  • Zepto, Swiggy'den de fazla olmak üzere 165 uygulamayı açıkça belirtmiş
  • Netflix, Bumble, Binance gibi neredeyse tüm kategorilerden popüler uygulamalar buna dahil
  • Zepto'nun iOS ve Android kullanıcılarına farklı fiyatlar gösterdiği biliniyor
  • Bu bilgiler sayesinde Android cihaz kullanıcıları arasında da farklı fiyatlandırma yapabilir

Kurye uygulamalarında uygulama sorgulama

  • Swiggy ve Zepto'nun teslimat kuryelerine yönelik uygulamaları da ayrı bir uygulama listesini sorguluyor
  • Zepto, rakip kurye uygulamalarını kontrol etme düzeyinde kalıyor
  • Swiggy ise bunun ötesine geçerek kişisel finans uygulamaları, kredi uygulamaları, hatta Ludo King gibi oyun uygulamalarını bile sorguluyor
  • Bu, teslimat kuryelerinin boş zaman faaliyetlerini bile gözetleyecek düzeyde bir veri toplama anlamına geliyor

Kredi uygulamalarının aşırı uygulama sorgulaması

  • Kreditbee (50 milyon+ indirme): 860 uygulama kontrol ediyor
  • Moneyview (50 milyon+ indirme): 944 uygulama kontrol ediyor (tam liste için GitHub bağlantısı)
  • Takvim, astroloji, inanç uygulamaları, evlilik aracılık uygulamaları, tarım uygulamaları gibi yaşamın çok farklı alanlarından uygulamalar buna dahil
  • Google'ın QUERY_ALL_PACKAGES yasağını aşmak için uygulamaları tek tek listeleme yöntemi kullanılıyor

Cred'in istisnai izin kullanımı

  • Cred, QUERY_ALL_PACKAGES iznini kullanan tek uygulama
  • Google, finansal işlem işlevi çekirdek önemdeyse buna geçici olarak izin veriyor
  • Ancak aynı finans kategorisindeki PhonePe, Paytm gibi uygulamalar bu izni kullanmıyor
  • Cred kredi hizmeti de sunduğu için politika ihlali ihtimali bulunuyor

ACTION_MAIN filtresiyle yapılan dolaylı aşma yöntemi

  • Bazı uygulamalar ACTION_MAIN intent filtresini kullanarak tüm UI uygulamalarını tespit edebiliyor
  • Bu yöntem, QUERY_ALL_PACKAGES izni olmadan yüklü uygulama listesini dolaylı olarak görmeyi mümkün kılıyor
  • Test amaçlı bir uygulama geliştirilip yapılan deneyde, bu yöntemle tüm uygulama listesinin alınabildiği görüldü
  • Play Store'un bunu engellemesi gerekiyor, ancak pratikte denetim gevşek kalıyor

Filtre kullanan uygulamaların listesi

  • Yüklü uygulamaları kontrol eden filtreyi kullanan uygulamalar:

    • Astrotalk, Axis Mobile, Bajaj Finserv, BookMyShow, Cars24, Cure.fit, Fibe, Groww, Housing, Instamart, Ixigo, JioHotstar, KreditBee, KukuTV, LazyPay, Ludo King, Meesho, MoneyTap, Moneyview, Navi, NoBroker, Nykaa, Ola, PhonePe, PhysicsWallah, Slice, Spinny, Swiggy, Swiggy Delivery, Tata Neu, Zomato

  • Filtre kullanmayan uygulamalar:

    • Airtel Thanks, Blinkit, Byju’s, MyGate, Dream11, Flipkart, HDFC Mobile, Healthify, INDmoney, MyJio, Paytm, PaisaBazaar, ShareChat, Unacademy, Vedantu, Zepto

  • Swiggy hem filtreyi hem de doğrudan listelemeyi birlikte kullanıyor (veri toplama yöntemi bu yüzden görece daha şeffaf)

Küresel uygulamalarda da filtre kullanımı değişken

  • Filtre kullanıyor: Facebook, Instagram, Snapchat, Subway Surfers, Truecaller
  • Filtre kullanmıyor: Amazon, Spotify, X(Twitter), Discord, WhatsApp

Uygulama kurulum verisi ne kadar hassas

  • 2022'de Vice, adet döngüsü uygulaması kurulum bilgilerinin ABD'li veri brokerları tarafından alınıp satıldığı vakaları haberleştirdi
  • Bu nedenle yüklü uygulama listesi, kişinin inançları, sağlık durumu, finansal hali gibi hassas bilgileri açığa çıkarabilir

Zepto'nun SMS iznini kullanma örneği

  • Zepto READ_SMS iznini talep ediyor
  • Zepto Postpaid özelliği kullanıldığında bu zorunlu; fiiliyatta ise kullanıcı özellikle seçmese bile SMS'leri okuyabiliyor
  • Blinkit, Swiggy, Flipkart gibi uygulamalardan gelen mesajlar da analiz kapsamına girebiliyor

Sonuç

  • Uygulamaların çoğu, aşırı izin istemeden normal sınırlar içinde çalışıyor
  • Ancak bazı uygulamalar, dolaylı yöntemler ve aşırı paket listelemeleriyle kullanıcının yüklü uygulama verisini topluyor
  • Kullanıcıların, uygulama kurarken bu bilgilerin kolayca açığa çıkabileceğinin farkında olması gerekiyor
  • Bu bilgiler eninde sonunda veri brokerları üzerinden satılabilir ve ileride fiyat ayrımcılığı ya da reklam hedefleme için kullanılabilir

İlgili okumalar

Henüz yorum yok.

Henüz yorum yok.