LinkedIn tarayıcı uzantılarını tarıyor

• LinkedIn, Chrome’da chrome-extension:// URL istekleri göndererek belirli uzantıların kurulu olup olmadığını kontrol ediyor; kurulu olmayan öğeler geliştirici araçları konsolunda istek hatası olarak görünüyor
• browsergate.eu kayıtları ve GitHub takip deposuna göre bu tarama en az 2017’den beri sürüyor ve hedef liste 38 öğeden Nisan 2026 itibarıyla 6.278 öğeye çıktı
• LinkedIn zaten kullanıcının adı, işvereni, unvanı, kariyer geçmişi ve konumu gibi bilgilere sahip olduğundan, uzantı taraması anonim bir cihaz parmak izi oluşturmaktan ziyade doğrulanmış profesyonel kimliğe bir yazılım listesi ekleme işlevi görüyor
• Tarama, LinkedIn’in APFC cihaz parmak izi toplama sisteminin bir parçası ve canvas fingerprint, WebGL, ses davranışı, yazı tipleri, ekran bilgisi, cihaz belleği, WebRTC yerel IP’si gibi 48 tarayıcı ve cihaz özelliğiyle birlikte bir profil oluşturuyor
• Tespit sonuçları AedEvent ve SpectroscopyEvent olarak paketlenip RSA açık anahtarıyla şifrelendikten sonra LinkedIn’in li/track uç noktasına gönderiliyor; browsergate.eu bunun AB Dijital Pazarlar Yasası’nı ihlal ettiğini ve bu nedenle cezai soruşturma başlatıldığını söylüyor

Kişisel kimlik profiline eklenen yazılım listesi

• Genel parmak izi toplama, anonim ziyaretçinin tarayıcısını çerez olmadan yeniden tanımaya yarayan bir yöntem olarak ele alınır
• Bu durumda profil cihaz düzeyinde tanımlanabilir, ancak zorunlu olarak kişisel kimlikle bağlantılı değildir
• LinkedIn ise anonim ziyaretçiden ziyade kullanıcının adı, işvereni, unvanı, kariyer geçmişi, maaş aralığı, profesyonel ağı ve konumu gibi bilgilere zaten sahiptir
• LinkedIn’in uzantı taraması, bilinmeyen bir ziyaretçinin cihaz profilini oluşturmaktan çok, zaten doğrulanmış profesyonel kimliğe ayrıntılı bir yazılım listesi ekliyor
• LinkedIn’in tarama listesinde yüzlerce iş aramayla ilgili uzantı bulunuyor; bu da bir kullanıcının işverenine söylemeden sessizce iş arayıp aramadığının anlaşılmasını mümkün kılabiliyor
• Listede siyasi içerik, dini pratikler, engellilik desteği ve nöroçeşitlilikle ilgili uzantılar da yer alıyor; bu da tarayıcı yazılımının kişinin özel yaşamı hakkında çıkarım yapılmasına temel oluşturabileceği anlamına geliyor
• LinkedIn kullanıcının çalıştığı yeri bildiği için, tek bir çalışanın tarama sonucu yalnızca kişiyi değil o kurumun iç araçlarını, güvenlik ürünlerini, rakip aboneliklerini ve iş akışlarını anlamaya da katkı sağlayabilir
• LinkedIn’in privacy policy belgesinde uzantı taramasından söz edilmiyor ve kullanıcıdan ne onay isteniyor ne de kullanıcı bilgilendiriliyor

LinkedIn’in ötesine uzanan sorun

• Yaptırım ve emsal

  • LinkedIn, uzantı listesini belirli uzantıları kurmuş kullanıcılar hakkında çıkarım yapmak ve yaptırım uygulamak için kullanıyor
  • browsergate’e göre Milinda Lakkam yeminli ifadesinde “LinkedIn took action against users who had specific extensions installed.” sözleriyle bunu doğruladı
  • Kullanıcıların, yazılımlarının listelendiğini, bu listenin kendilerine karşı kullanıldığını ve bunun LinkedIn gizlilik politikasında yer almadığını öğrenmesinin bir yolu yok

• Parmak izi toplama ekosistemi

  • Tarayıcı parmak izi toplama genelde bir sitenin sinyaller toplayıp profil oluşturması ve kullanıcıyı oturumlar arasında tanıması sorunu olarak ele alınır
  • LinkedIn’in uzantı taraması, doğrulanmış bir kimliğe bağlı ayrıntılı bir yazılım listesi oluşturuyor ve bu profilin LinkedIn içinde kalması gerekmiyor
  • LinkedIn üçüncü taraf davranış veri setleri satın alır ve bunların içinde kullanıcının parmak izi bulunursa, bunu elindeki mevcut kullanıcı bilgilerine ekleyebilir
  • LinkedIn dışındaki gezinme davranışı, satın alma geçmişi, konum kalıpları ve ilgi alanları, LinkedIn hesabına bağlı profilin bir parçası haline gelebilir
  • Tersine LinkedIn, her sayfa ziyaretinde yüklenen Google reCAPTCHA enterprise dahil üçüncü taraf script’leri entegre ediyor ve böylece veriler platformlar arasında akıyor
  • LinkedIn’in doğrulanmış kimliğe bağladığı parmak izi, linkedin.com dışındaki reklam ve takip sistemlerini de etkileyebilir
  • LinkedIn’e bir kez giriş yapıldığında, o ziyarette oluşturulan parmak izi web genelinde kullanıcıyı takip edebilir

• Gerçek risk altındaki kullanıcı grupları

  • Gazeteciler, avukatlar, araştırmacılar ve insan hakları soruşturmacıları için LinkedIn profili internetteki en ayrıntılı doğrulanmış kimlik belgelerinden biri olabilir
  • LinkedIn profili, profesyonel amaçlarla ve gerçek adla kasıtlı olarak oluşturulmuş bilgidir
  • Uzantı taraması, kullanıcının farkında olmadan bu profile gizlilik araçlarını, güvenlik uzantılarını, araştırma araçlarını ve üretkenlik uygulamalarının kurulum geçmişini bağlıyor
  • LinkedIn ve Chrome kullanıyorsanız bu toplama şu anda gerçekleşiyor

APFC ve gelişmiş JavaScript parmak izi toplama

• Uzantı taraması bağımsız bir özellik değil; LinkedIn’in dahili olarak APFC adını verdiği daha geniş bir cihaz parmak izi toplama sisteminin parçası
• APFC, Anti-fraud Platform Features Collection ifadesinin kısaltması; dahili olarak DNA, yani Device Network Analysis olarak da anılıyor
• LinkedIn bu izleme yöntemleri konusunda uzantı taramasına kıyasla daha açık, ancak bu yöntemler ticari web sitelerinde yaygın biçimde bulunuyor
• Bu sistem her ziyarette 48 tarayıcı ve cihaz özelliği topluyor
• Toplananlar arasında canvas fingerprint, WebGL renderer ve parametreleri, ses işleme davranışı, kurulu yazı tipleri, ekran çözünürlüğü, piksel oranı, donanımsal eşzamanlılık, cihaz belleği, pil seviyesi, WebRTC üzerinden yerel IP adresi, saat dilimi ve dil bulunuyor
• Uzantı taraması, daha büyük profilin girdilerinden yalnızca biri

Teknik olarak neler oluyor

• LinkedIn’in kodu, Chrome’a kurulu belirli dosyaları aramak için chrome-extension:// URL’lerine fetch() istekleri gönderiyor
• Uzantı kurulu değilse Chrome isteği engelliyor ve başarısızlığı log’a yazıyor
• Uzantı kuruluysa istek sessizce başarılı oluyor ve LinkedIn bunu kaydediyor
• Doğrulanmış bir ortamda tarama yaklaşık 15 dakika sürdü ve 6.000’den fazla uzantıyı yokladı
• Kullanıcılar bunu Chrome’da LinkedIn’i açıp geliştirici araçlarının konsol sekmesinden doğrudan görebilir
• Konsoldaki her kırmızı hata, kullanıcının parmak izinin bir parçasına karşılık geliyor

Kod yapısı ve tespit yöntemi

• LinkedIn, tüm Chrome ziyaretçilerinin tarayıcısında JavaScript kodu çalıştırıyor ve uzantı taramasından sorumlu sistem bunun içinde yer alıyor
• İlgili dosya yaklaşık 1,6 MB boyutunda, küçültülmüş ve kısmen obfuscate edilmiş bir JavaScript dosyası
• Normal minification performans için kodun sıkıştırılmasıdır; obfuscation ise kodu okumayı ve anlamayı zorlaştıran ayrı bir aşamadır
• LinkedIn, uzantı tarama sisteminin bulunduğu modülü obfuscate ediyor ve bunu binlerce satırlık JavaScript dosyası içine gömüyor
• Dosyanın içinde tarayıcı uzantısı kimliklerinden oluşan hard-coded bir dizi bulunuyor
• Şubat 2026 itibarıyla bu dizide 6.278 öğe vardı
• Her öğede iki alan yer alıyor: Chrome Web Store uzantı kimliği ve uzantı paketinin içindeki belirli bir dosya yolu
• Dosya yolu rastgele bir değer değil; çünkü Chrome uzantıları web_accessible_resources alanı üzerinden iç dosyalarını web sayfalarına açabiliyor
• Uzantı kuruluysa ve belirli dosyayı erişilebilir olarak tanımladıysa, chrome-extension://{id}/{file} adresine gönderilen fetch() isteği başarılı oluyor
• Kurulu değilse Chrome isteği engelliyor
• LinkedIn listedeki 6.278 uzantının her biri için belirli erişilebilir dosyaları tespit edip doğrudan yokluyor
• Liste sürekli korunup genişletiliyor; ayrıca Chrome Web Store uzantı paketlerini crawl edip her manifest içindeki web erişilebilir kaynakları parse ederek tespit hedefleri ekleyen araçlar varmış gibi görünüyor

İki tarama modu ve Spectroscopy

• Uzantı taraması iki modda çalışıyor
• İlk mod, Promise.allSettled() kullanarak tüm istekleri aynı anda gönderiyor ve tüm uzantıları paralel biçimde tespit ediyor
• İkinci mod, her istek arasına ayarlanabilir gecikme koyarak istekleri sırayla gönderiyor; böylece ağ etkinliği zamana yayılıyor ve izleme araçlarında daha az göze çarpıyor
• LinkedIn, dahili özellik bayraklarıyla bu iki mod arasında geçiş yapabiliyor
• Tarama requestIdleCallback ile ertelenebiliyor; böylece tarayıcı boştayken çalışıp kullanıcının performans etkisi hissetmemesi sağlanıyor
• Spectroscopy adlı ikinci tespit sistemi, uzantı listesinden bağımsız olarak çalışıyor
• Spectroscopy tüm DOM ağacını tarayarak bütün metin düğümlerinde ve öğe niteliklerinde chrome-extension:// URL referanslarını kontrol ediyor
• Bu yöntem, LinkedIn’in hard-coded listesinde yer almasa bile sayfayı değiştiren uzantıları yakalayabiliyor
• İki sistem birlikte kullanıldığında hem kurulu uzantılar hem de gerçekten sayfayla etkileşime giren uzantılar kapsanmış oluyor

Telemetri aktarımı

• Her iki tespit sistemi de sonuçları aynı telemetri hattına gönderiyor
• Tespit edilen uzantı kimlikleri AedEvent ve SpectroscopyEvent nesneleri olarak paketleniyor
• Bu nesneler RSA açık anahtarıyla şifrelenip LinkedIn’in li/track uç noktasına gönderiliyor
• Şifrelenmiş parmak izi daha sonra oturum sırasındaki tüm API isteklerinin HTTP header’larına ekleniyor
• LinkedIn ziyaret boyunca kullanıcının yaptığı her hareketle birlikte bu değeri de alıyor

Hukuki bağlam

• browsergate.eu ilgili hukuki mantığı ayrıntılı biçimde açıklıyor
• 2024’te Microsoft, AB Dijital Pazarlar Yasası kapsamında gatekeeper olarak belirlendi ve LinkedIn de düzenlemeye tabi ürünlerden biri oldu
• DMA, gatekeeper’ların üçüncü taraf araçların kullanıcı verilerine erişimine izin vermesini şart koşuyor ve bu araçların kullanıcılarına karşı işlem yapılmasını yasaklıyor
• browsergate.eu, LinkedIn’in üçüncü taraf araç kullanıcılarına sistematik yaptırım uygulamasının ve bunları tespit etmek için gizli uzantı taraması kullanmasının bu kuralları ihlal ettiğini savunuyor
• Bu iddianın hukuken kabul edilip edilmeyeceği ayrı bir yargı meselesi
• Bamberg’deki Bavarian Central Cybercrime Prosecution Office’in Cybercrime Unit bir cezai soruşturma açıldığını doğruladı
• Bu kurum, yargı alanlarını aşan ciddi siber suç vakalarıyla ilgileniyor
• browsergate.eu, cezai soruşturmayı doğruladığını, dava numarasını paylaştığını ve tam mahkeme belgelerini yayıma hazırladığını belirtiyor