Surveillance
Self-Defense

Cep Telefonları: Konum Takibi

Son güncelleme: 
05-05-2021
This page was translated from English. The English version may be more up-to-date.
 

Konum Takibi Anchor link

Cep telefonlarının gizliliğimize karşı oluşturduğu en büyük tehdit, genellikle gözden kaçan veya önemsenmeyen konum takibidir. Cep telefonları, gün boyunca yaydıkları sinyallerle konum takibimizin yapılmasına olanak sağlar. Cep telefonu sinyalleriyle bir bireyin konumunu takip etmenin dört farklı yolu vardır.

  • Baz İstasyonları Aracılığıyla Mobil Sinyal Takibi
  • Baz İstasyonu Simülatörleri Aracılığıyla Mobil Sinyal Takibi
  • Wi-Fi ve Bluetooth Takibi
  • Uygulamalar ve İnternet Sitelerinin Konum Bilgisi Sızdırması
 

Mobil Sinyal Takibi - Baz İstasyonları Anchor link

Modern mobil ağların tamamında, kullanıcıların konumu telefonlarını açtıkları ve sinyal almaya başladıkları andan itibaren servis sağlayıcıları tarafından hesaplanabilir. Bu kabiliyet, mobil ağların icat edildiklerindeki yapılarıyla ilgilidir ve genellikle nirengi ya da üçgenleme (triangülasyon) olarak bilinir.

Örtüşen dairelerin temsil ettiği üç farklı şehirdeki baz istasyonları. Baz istasyonlarının sinyallerinin birleştiği noktada ise cep telefonunun konumu gözüküyor.

Servis sağlayıcılarının üçgenleme yapabilmesinin yollarından biri, kullanıcıların telefonlarından yayılan sinyal gücünün farklı baz istasyonları tarafından gözlemi ve daha sonra bu sinyal gücünün hesaplanmasıyla olur. Bu hesaplama, varış açısı (Angle of Arrival ya da AoA) denilen hesaplamayla gerçekleştirilebilir. Servis sağlayıcının kullanıcının konumunu ne kadar doğru tespit edebileceği birçok faktöre dayalıdır. Servis sağlayıcının kullandığı teknoloji ve bölgede yer alan baz istasyonlarının sayısı, bu tespiti yapmada en önemli faktörlerden birkaçıdır. Bölgede en az üç baz istasyonu bulunması durumunda, servis sağlayıcıları genellikle kullanıcılarının konumunu 1 kilometreye kadar doğrulukla tespit edebilir. Modern cep telefonları ve ağlar için de üçgenleme kullanılır. Üçgenleme, özellikle "locationInfo-r10" özelliğinin desteklendiği yerlerde kullanılır. Bu özellik, telefonun gerçek konumunu belirten bir rapor sunar.

Cep telefonunuz açıksa, bir SIM kart takılıysa, ve servis sağlayıcınızın baz istasyonuna sinyal gönderiyorsa, bu takipten kurtulmanızın bir yolu yoktur. Normal koşullarda bu takibi yalnızca servis sağlayıcınız yapabiliyor olsa da, bir devlet, servis sağlayısının bu bilgileri kendisine vermeye zorlayabilir (bu bilgiler gerçek zamanlı veya geçmişe ait olabilir). 2010 yılında Malte Spitz isimli bir Alman gizlilik savunucusu, gizlilik yasalarını kullanarak servis sağlayıcısını kendisi üzerinde topladığı konum bilgilerini vermeye zorladı. Spitz, daha sonra bu belgeleri, bir farkındalık yaratması açısından kamuya açık bir şekilde yayınladı (Bu belgelere bağlantıya tıklayarak ulaşabilirsiniz). Bir devletin bu tür verilere ulaşabilmesi bir teori değil. Amerika Birleşik Devletleri gibi ülkelerde, kolluk kuvvetleri bu tür verileri sık sık talep ediyor ve bunlara erişebiliyor.

Devletlerin, servis sağlayıcılarından talep ettikleri bir başka veri de, baz istasyon dökümü denilen veri setidir. Bu durumda devlet, servis sağlayıcılarından baz istasyonuyla belli saat aralıklarında temas kurmuş tüm mobil cihazların dökümünü talep eder. Bu veri seti, bir suçun aydınlatılmasında veya hangi kişilerin belli bir protestoya katıldıklarını tespit etmekte kullanılabilir.

  • Yapılan haberlere göre, Ukrayna devleti baz istasyon dökümlerini kullanarak, 2014 yılında gerçekleşen devlet karşıtı protestolara katılanları tespit etmiştir.
  • Carpenter v. Amerika Birleşik Devletleri isimli davada, Yüksek Mahkeme kullanıcıların fiziksel konum bilgilerini içeren baz istasyonları dökümlerinin arama izni olmadan edinilmesini, Amerika Birleşik Devletleri Anayasası'nın Dördüncü Ek Maddesi'ne aykırı olduğu hükmüne varmıştır.

Tüm bunların yanında, servis sağlayıcıları o an hangi cihazın aktif olduğu ve bu cihazın konum bilgilerini de birbirleri arasında paylaşır. Birkaç baz istasyonundan alınan verilerin bir araya getirilmesiyle oluşturulan veriye nazaran, bu verinin doğruluğu daha düşüktür. Ancak veriler yine de kullanıcıların takibi için kullanılabilir. Kurumsal şirketler bu kayıtları kullanarak kullanıcılarının konum bilgilerine erişebilir ve bu bilgileri devletler veya başka şirketlerle paylaşabilir (Washington Post gazetesi, bu konum verilerine erişimin ne denli kolaylaştığının haberini yapmıştı). Daha önce bahsettiğimiz konum takibi tespitinden farklı olarak, servis sağlayıcıları kolluk kuvvetlerine herhangi bir veri sağlamaz. Bunun yerine, bu teknikle toplanan konum verileri yasal amaçlar için değil, ticari amaçlar için kullanıma sunulur.

 

Baz İstasyonu Simülatörleri Aracılığıyla Mobil Sinyal Takibi Anchor link

Bir devlet veya teknik kabiliyete sahip sofistike bir organizasyon da konum bilgilerinizi doğrudan ele geçirebilir. Bu saldırganlar, emellerine ulaşmak için baz istasyonu simülatörü denilen cihazları kullanırlar. Gerçek bir baz istasyonunu taklit eden bu cihaz, kendi ağına bağlanan mobil cihazların tüm haberleşmelerini takip edebilir ve konum bilgisini toplayabilir. Bu cihaz ayrıca IMSI Catcher ya da Stringray olarak da bilinmektedir. IMSI, bir cep telefonu kullanıcısının SIM kartını tespit eden bir numaralar bütünüdür. Ancak IMSI catcher'lar, cihazların IMSI numarası dışındaki özelliklerini kullanarak da bu cihazları hedef alabilirler.

Animasyon: Bir cep telefonu, bir baz istasyonunun zayıf ağ bağlantısına bağlanır. İstasyon, telefonun kimliğini talep eder ve telefon IMSI numarasıyla bu talebe yanıt verir. Bir araç ile temsil edilen baz istasyonu simülatörü, gerçek baz istasyonuna göre daha güçlü bir sinyal verdiği için, telefon bu simülatöre bağlanır. Simülatör, telefonun kimliğini talep eder ve telefon bu talebe IMSI numarasıyla yanıt verir.

IMSI catcher'ların bir cihazı takip edebilmesi için, takip edilmesi istenen cihazla aynı konumda olması gerekir. Kolluk kuvvetlerinin IMSI catcher'larla takip yapabilmesi için, yasal izinlerinin olması gerekmektedir. Ancak, habis, yani kolluk kuvvetleri tarafından kullanılmayan yasadışı bir baz istasyon simülatörü, herhangi bir arama iznine tabi olmayacaktır.

Günümüzde, IMSI catcher'ların tamamına karşı bir korunma mümkün değildir (bazı uygulamalar bu cihazların varlıklarını tespit edebildiklerini iddia etseler de, bu tespitler sorunsuz değildir). 2G bağlantının kapatılabildiği cihazlarda bu özelliği kapatmak faydalıdır. Faydalı olan başka bir yöntemse, yurtdışına çıkmayı planlamayan kişilerin, telefonlarının roaming özelliğini kapatmalarıdır. Ek olarak, Signal, WhatsApp, veya iMessage gibi şifreleme kullanan haberleşme uygulamalarını kullanarak, kullanıcılar haberleşme içeriklerinin başkaları tarafından takip edilemeyeceğinden emin olabilirler. Bu önlemleri alarak, bazı IMSI catcher'lara karşı kendinizi koruyabilirsiniz.

 

Wi-Fi ve Bluetooth Takibi Anchor link

Modern akıllı telefonlarda, baz istasyonuyla haberleşmek için kullanılan arayüzünden farklı olan radyo sinyal vericileri bulunmaktadır. Bu cihazlarda ayrıca Wi-Fi ve Bluetooth desteği de bulunmaktadır. Bu sinyaller, cep telefonu sinyalinden daha güçsüz olduğu için, yalnızca cihazın bulunduğu oda veya aynı apartman gibi sınırlı bir alan içine yayılabilirler. Ancak, 2007 yılında Venezuelalı bir uzmanın da gösterdiği gibi, Wi-Fi sinyallerini 382 kilometre gibi çok uzun bir mesafeden de alabilmek, radyo enterferansının az olduğu kırsal alanlarda mümkündür. Bu tür kablosuz sinyaller, cihazlara bir kimlik atanması için kullanılan ve eşsiz olan MAC adreslerine sahiptir. Bu adresleri, gönderilen sinyali alabilen her cihaz okuyabilir.

Bir bluetooth ve wi-fi modemine bağlanan telefon, MAC adresini bu cihazla paylaşır.

Wi-Fi açıldığı zaman, sıradan bir akıllı telefon etrafına bir "yoklama sinyali" gönderir. Gönderilen bu sinyal telefonun MAC adresini içerir ve etraftaki cihazlara telefonun varlığını belirtir. Bluetooth cihazları da benzer şekilde çalışır. MAC adresi gibi tanımlayıcılar, mağazalarda veya kahvecilerdeki müşterilerin cihazların, yani bu cihazlara sahip kullanıcıların nasıl hareket ettikleri bilgisini toplamakta faydalı araçlardır. Ancak iOS ve Android işlemlerinin son sürümleriyle yayınlanan yamalarla, cihazların sahip oldukları MAC adreslerinin rastgele ve herhangi bir kullanıcı talebi olmadan değiştirilmesi sağlanarak, bu takibin yapılması zorlaştırılmıştır. MAC adresinin rastgele değiştirilmesi yazılım temelli bir özellik olduğundan, bu korumanın aşılabilme ve cihazın gerçek MAC adresinin yazılım hatası yüzünden sızabilme tehlikesi mevcuttur. Ek olarak, Android cihazları MAC adresini değiştiren bu özelliği doğru bir şekilde uygulayamayabilir (PDF dosyası).

Modern telefonlar yoklama sinyali sırasında paylaştıkları MAC adreslerini genellikle değiştirseler de, birçok telefon bağlantı kurdukları ağlarla gerçek ve sabit MAC adresini paylaşır. Bu bilgiyi kullanan ağ operatörleri ise, belli bir telefonun zamanla hangi cihazlara bağlandığı bilgisini kullanarak, telefonun gerçek kimliğini tespit edebilir. Bu cihazlarla veya ağlarla kurulan bağlantı sırasında isminizi veya email adresiniz gibi bilgileri kullanmasanız bile kimliğinizi ele verebilirsiniz.

Wi-Fi kullanan bir cihazın sabit MAC adresinin yazılımsal olarak değiştirilmesi özelliği, birçok işletim sisteminin sağlamaya başladığı özelliklerden biri haline geldi. Ancak düzgün çalışabilmesi için sabit bir MAC adresine ihtiyaç duyan cihazların varlığı, bu değişimi oldukça zorlaştırıyor. Örneğin, bir otelin ağına bağlanırsanız, bu ağ size ağa bağlanmanız için verdiği onayı MAC adresiniz üzerinden takip eder. Bu durumda yeni bir MAC adresi aldığınızda, ağ sizin başka bir cihaz kullandığınızı düşündüğünden, sizin ağla olan bağlantınızı keser ve kimliğinizi yeniden doğrulamanızı talep eder. Bu sorunun önüne geçmek için, iOS 14 ve sonrasını kullanan Apple cihazlarında her ağ için ayrı ve özel bir MAC adresi oluşturulabilir.

 

Uygulamalar ve İnternet Sitelerinin Konum Bilgisi Sızdırması Anchor link

Modern akıllı telefonlarda, telefonun konumunu belirlemesi için sahip olduğu bazı özellikler bulunmaktadır. Telefon, bu konum belirlemesini GPS ve bazı durumlarda konum (lokasyon) şirketleri tarafından (bu tespit telefonun hangi baz istasyonuna veya Wi-Fi ağına bağlı olduğuna göre yapılır) sağlanan hizmetleri kullanarak gerçekleştirir. Bu özelliklerin tamamı, Apple ve Google tarafından "Konum Servisleri" adında bir çatı altında toplanır. Uygulamalar, telefona konum bilgisini sorarak, aldıkları cevaba göre bir hizmet sunmaya çalışırlar. Harita uygulamaları bu uygulamalara en iyi örnektir. İki işletim sistemi de, uygulamaların ne gibi durumlarda bu bilgiyi talep edecekleriyle ilgili kullanıcıyı koruma amaçlı değişikliklere gitmiştir. Ancak bazı uygulamalar GPS veya Konum Servisleri altında toplanan bilgileri kullanma konusunda diğer uygulamalara göre daha agresif bir tavır sergileyebilirler.

Konum hizmetlerine benzeyen bir ayarlar menüsünün görseli.

Bu uygulamaların bazıları ağ üzerinden konum bilginizi servis sağlayıcısına taşır ve uygulamanın ve üçüncü parti servislerin konumunuzu belirlemesine imkan sağlar. Bu uygulamaların geliştiricilerinin kullanıcıları takip etmek gibi bir amaçları olmasa dahi, istemsizce bunu yapabilirler ve kullanıcıların konum bilgilerini sızdırabilir veya devletlerin ele geçirmesine sebep olabilirler. Bazı akıllı telefonlar, uygulamaların fiziksel konumunuzun tespitini engellemeniz için size bazı imkanlar sunar. Eğer gizliliğinize önem veriyorsanız, bu ayarlara göz atabilirsiniz ve en azından konum bilgilerinizin güvendiğiniz uygulamalarla geçerli bir sebepten ötürü paylaşıldığından emin olabilirsiniz.

Konum takibi, aksiyon filmlerinde olduğu gibi herhangi bir kişinin o an nerede olduğunun anlık takibiyle alakalı değildir. Konum bilgileri aracılığıyla kişilerin daha önce bulunduğu yerler, inançları, katıldıkları etkinlikler, ve kişisel hayatlarına dair birçok bilgi edinilebilir. Örneğin, konum bilgisini kullanarak kişilerin yaşadıkları romantik ilişkileri, katıldıkları protesto gösterilerini, veya bir gazetecinin gizli haber kaynağını ortaya çıkarmak mümkündür.

Aralık 2013'te Washington Post gazetesinde yer alan haberde, kendi geliştirdiği konum takip araçları sayesinde servis sağlayıcıların ağlarına sızan NSA'in, hangi telefonun ne zaman ve hangi baz istasyonlarıyla temas kurduğu bilgisini toplayarak, "küresel çapta telefonların konum bilgilerini" topladığı belirtilmişti. CO-TRAVELLER ismindeki araç, bu verileri kullanarak farklı kişilerin hareketleri hakkında (hangi kişilerin hangi cihazlarla birlikte hareket ettiği ve bu kişilerden birinin diğerini takip edip etmediği) bilgisini topladığı haber edilmişti.

Davranışsal Verilerin Toplanması ve Mobil Reklam Tanımlayıcıları

Bazı uygulamalar ve web sitelerinin topladığı konum verilerine ek olarak, birçok uygulama yükleme, açılma, kullanım ve diğer temel aktiviteleri içeren verileri de paylaşmaktadır. Bu veriler toplandıktan sonra, reklam ekosistemi içerisinde yer alan üçüncü parti şirketlerle gerçek zamanlı ihale (RTB, yani real-time bidding) ismindeki yöntem aracılığıyla paylaşılmaktadır. Bireysel olarak pek bir anlam içermeyen bu veriler, topluca ele alındığında birçok davranışı ortaya çıkarabilir.

Reklam teknoloji firmaları, uygulama geliştiricilerinin uygulamalarında reklam göstermelerini sağlamak amacıyla onları yazılım geliştirme kiti (SDK, yani software development kit) denilen yazılımları kullanmaya ikna eder. Bu kitin içerisindeki kod, kullanıcıların uygulamayla etkileşimini takip ettikten sonra bu verileri üçüncü parti takip şirketiyle, yani yazılım geliştirme kitini yazan şirketle paylaşır. Bu veriyi elde eden şirket, daha sonra bu verileri başka reklam şirketlerine, reklam sağlayıcılarına veya veri brokerlarına milisaniyeler süren gerçek zamanlı ihaleler aracılığıyla satar.

Tam ekranlı bir reklamın altında yatan gerçek: yazılım geliştirme kitleri (SDK). SDK'ler, kullanıcıların bir uygulamayı nasıl kullandığını takip ederek, kullanıcıların uygulamayı yükleme ve açma verilerini, cinsiyet bilgilerini, aktivitelerini ve konum bilgilerini içeren veri setini uzaktaki bir sunucuya gönderir.

Toplanan bu veriler, tek bir cihaza mobil reklam tanımlayıcıların (MAID, yani mobile advertising identifier) atadığı eşsiz ve rastgele numara sayesinde anlamlı hale gelir. MAID'i kullanarak farklı uygulamaların topladığı verileri bir araya getiren reklam şirketleri ve veri brokerları, MAID numarası atanmış kullanıcılar hakkında bir kimlik profili oluşturur. MAID verisi kendi başına kullanıcının gerçek kimliğiyle ilgili bir bilgi içermez. Ancak bir uygulama için kullanılmış isim veya email bilgisini bir araya getiren reklamcı ve data brokerları için MAID bilgisini gerçek bir kimlikle eşleştirmek çok sıradan ve basit bir işlemdir.

Mobil reklam kimlikleri, iOS ve Android işletim sistemleri, oyun konsolları, tabletler, ve akıllı TV cihazları gibi cihazlarla birlikte gelmektedir. Android işletim sisteminde, indirilen her uygulamanın ve bu uygulamalarda yer alan üçüncü parti yazılımların her birinin MAID numarasına erişimi vardır. Ek olarak, Android işletim sistemi üzerinde kullanıcıların bu erişimi engelleme şansı yoktur. Kullanıcıların yapabileceği tek şey, MAID numarasını sıfırlamak, yani eski numarayı yenisiyle değiştirmektir. iOS işletim sisteminde ise, son çıkan sürümle birlikte uygulamalar telefonun reklam kimliğini kullanmadan önce kullanıcıların iznini almak zorundadır. Ancak zararsız gibi gözüken bir uygulamanın istediği bu izne onay veren kullanıcıların, bu iznin sonuçları hakkında ne kadar bilgili olduğu şüphelidir.

Mobil uygulamalar sayesinde toplanan davranışsal veriler genellikle reklam şirketleri ve veri brokerları tarafından, ticari ve politik amaçlarla kullanılmaktadır. Ancak devletlerin, özel şirketlerin yaptığı bu gözetimden de faydalandığı daha önce belgelenmiştir.

İnternet tarayıcılarının yaptığı takiple ilgili daha detaylı bilgi için Parmakizleme Nedir? ismindeki makaleye göz atın.

JavaScript license information