Surveillance
Self-Defense

Cep Telefonlarında Gizlilik

  • Cep Telefonlarında Gizlilik

    Cep telefonları artık sadece arama yapmak için kullandığımız basit bir iletişim cihazından farklı olarak, internete erişim, mesaj gönderip alma ve etrafımızdaki dünyayı belgeleme gibi hayati özelliklere sahip olan cihazlar haline geldi.

    Ancak, cep telefonları maalesef gizliliğimiz ve güvenliğimizi ön planda tutacak şekilde tasarlanmadılar. Cep telefonları, gizliliğimizi korumak bir yana, bizi günümüzde yeni tehditlere karşı da savunmasız bırakıyor. Bu tehditlerin başında da konum takibi geliyor. Günümüzdeki cep telefonlarının büyük bir çoğunluğu, kullanıcılarına bir masaüstü veya dizüstü bilgisayardan daha az kontrol imkanı sağlıyor. Cep telefonlarının işletim sistemlerinin değiştirilmesi, kötü amaçlı yazılımlar ve bunlardan gelebilecek saldırılara karşı tetkiklerde bulunulması, telefonla beraber yüklü gelen uygulanmaların silinmesi veya değiştirilmesi ve mobil operatörünüzün sizi takip etmesini engellemek gibi gizliliğinizi tehlikeye atabilecek unsurların önüne geçmek, diğer cihazlara göre çok daha zor. Ek olarak, cep telefonu üreticileri cihazlara verdikleri desteği bitirerek, güvenlik yamaları dahil yazılım güncellemelerini sonlandırabilmekteler. Buna karşı alabileceğiniz bir önlem yoktur.

    Yukarıdaki problemlerin bazıları, üçüncü parti çözümlerle giderilebilir. Aşağıdaki makalelerde, cep telefonlarının hangi durumlarda kullanıcılarını takip ederek gizliliklerini ihlal ettiğini anlatacağız.

  • Cep Telefonları: Konum Takibi

    Konum Takibi

    Cep telefonlarının gizliliğimize karşı oluşturduğu en büyük tehdit, genellikle gözden kaçan veya önemsenmeyen konum takibidir. Cep telefonları, gün boyunca yaydıkları sinyallerle konum takibimizin yapılmasına olanak sağlar. Cep telefonu sinyalleriyle bir bireyin konumunu takip etmenin dört farklı yolu vardır.

    • Baz İstasyonları Aracılığıyla Mobil Sinyal Takibi
    • Baz İstasyonu Simülatörleri Aracılığıyla Mobil Sinyal Takibi
    • Wi-Fi ve Bluetooth Takibi
    • Uygulamalar ve İnternet Sitelerinin Konum Bilgisi Sızdırması

    Mobil Sinyal Takibi - Baz İstasyonları

    Modern mobil ağların tamamında, kullanıcıların konumu telefonlarını açtıkları ve sinyal almaya başladıkları andan itibaren servis sağlayıcıları tarafından hesaplanabilir. Bu kabiliyet, mobil ağların icat edildiklerindeki yapılarıyla ilgilidir ve genellikle nirengi ya da üçgenleme (triangülasyon) olarak bilinir.

    Örtüşen dairelerin temsil ettiği üç farklı şehirdeki baz istasyonları. Baz istasyonlarının sinyallerinin birleştiği noktada ise cep telefonunun konumu gözüküyor.

    Servis sağlayıcılarının üçgenleme yapabilmesinin yollarından biri, kullanıcıların telefonlarından yayılan sinyal gücünün farklı baz istasyonları tarafından gözlemi ve daha sonra bu sinyal gücünün hesaplanmasıyla olur. Bu hesaplama, varış açısı (Angle of Arrival ya da AoA) denilen hesaplamayla gerçekleştirilebilir. Servis sağlayıcının kullanıcının konumunu ne kadar doğru tespit edebileceği birçok faktöre dayalıdır. Servis sağlayıcının kullandığı teknoloji ve bölgede yer alan baz istasyonlarının sayısı, bu tespiti yapmada en önemli faktörlerden birkaçıdır. Bölgede en az üç baz istasyonu bulunması durumunda, servis sağlayıcıları genellikle kullanıcılarının konumunu 1 kilometreye kadar doğrulukla tespit edebilir. Modern cep telefonları ve ağlar için de üçgenleme kullanılır. Üçgenleme, özellikle "locationInfo-r10" özelliğinin desteklendiği yerlerde kullanılır. Bu özellik, telefonun gerçek konumunu belirten bir rapor sunar.

    Cep telefonunuz açıksa, bir SIM kart takılıysa, ve servis sağlayıcınızın baz istasyonuna sinyal gönderiyorsa, bu takipten kurtulmanızın bir yolu yoktur. Normal koşullarda bu takibi yalnızca servis sağlayıcınız yapabiliyor olsa da, bir devlet, servis sağlayısının bu bilgileri kendisine vermeye zorlayabilir (bu bilgiler gerçek zamanlı veya geçmişe ait olabilir). 2010 yılında Malte Spitz isimli bir Alman gizlilik savunucusu, gizlilik yasalarını kullanarak servis sağlayıcısını kendisi üzerinde topladığı konum bilgilerini vermeye zorladı. Spitz, daha sonra bu belgeleri, bir farkındalık yaratması açısından kamuya açık bir şekilde yayınladı (Bu belgelere bağlantıya tıklayarak ulaşabilirsiniz). Bir devletin bu tür verilere ulaşabilmesi bir teori değil. Amerika Birleşik Devletleri gibi ülkelerde, kolluk kuvvetleri bu tür verileri sık sık talep ediyor ve bunlara erişebiliyor.

    Devletlerin, servis sağlayıcılarından talep ettikleri bir başka veri de, baz istasyon dökümü denilen veri setidir. Bu durumda devlet, servis sağlayıcılarından baz istasyonuyla belli saat aralıklarında temas kurmuş tüm mobil cihazların dökümünü talep eder. Bu veri seti, bir suçun aydınlatılmasında veya hangi kişilerin belli bir protestoya katıldıklarını tespit etmekte kullanılabilir.

    • Yapılan haberlere göre, Ukrayna devleti baz istasyon dökümlerini kullanarak, 2014 yılında gerçekleşen devlet karşıtı protestolara katılanları tespit etmiştir.
    • Carpenter v. Amerika Birleşik Devletleri isimli davada, Yüksek Mahkeme kullanıcıların fiziksel konum bilgilerini içeren baz istasyonları dökümlerinin arama izni olmadan edinilmesini, Amerika Birleşik Devletleri Anayasası'nın Dördüncü Ek Maddesi'ne aykırı olduğu hükmüne varmıştır.

    Tüm bunların yanında, servis sağlayıcıları o an hangi cihazın aktif olduğu ve bu cihazın konum bilgilerini de birbirleri arasında paylaşır. Birkaç baz istasyonundan alınan verilerin bir araya getirilmesiyle oluşturulan veriye nazaran, bu verinin doğruluğu daha düşüktür. Ancak veriler yine de kullanıcıların takibi için kullanılabilir. Kurumsal şirketler bu kayıtları kullanarak kullanıcılarının konum bilgilerine erişebilir ve bu bilgileri devletler veya başka şirketlerle paylaşabilir (Washington Post gazetesi, bu konum verilerine erişimin ne denli kolaylaştığının haberini yapmıştı). Daha önce bahsettiğimiz konum takibi tespitinden farklı olarak, servis sağlayıcıları kolluk kuvvetlerine herhangi bir veri sağlamaz. Bunun yerine, bu teknikle toplanan konum verileri yasal amaçlar için değil, ticari amaçlar için kullanıma sunulur.

    Baz İstasyonu Simülatörleri Aracılığıyla Mobil Sinyal Takibi

    Bir devlet veya teknik kabiliyete sahip sofistike bir organizasyon da konum bilgilerinizi doğrudan ele geçirebilir. Bu saldırganlar, emellerine ulaşmak için baz istasyonu simülatörü denilen cihazları kullanırlar. Gerçek bir baz istasyonunu taklit eden bu cihaz, kendi ağına bağlanan mobil cihazların tüm haberleşmelerini takip edebilir ve konum bilgisini toplayabilir. Bu cihaz ayrıca IMSI Catcher ya da Stringray olarak da bilinmektedir. IMSI, bir cep telefonu kullanıcısının SIM kartını tespit eden bir numaralar bütünüdür. Ancak IMSI catcher'lar, cihazların IMSI numarası dışındaki özelliklerini kullanarak da bu cihazları hedef alabilirler.

    Animasyon: Bir cep telefonu, bir baz istasyonunun zayıf ağ bağlantısına bağlanır. İstasyon, telefonun kimliğini talep eder ve telefon IMSI numarasıyla bu talebe yanıt verir. Bir araç ile temsil edilen baz istasyonu simülatörü, gerçek baz istasyonuna göre daha güçlü bir sinyal verdiği için, telefon bu simülatöre bağlanır. Simülatör, telefonun kimliğini talep eder ve telefon bu talebe IMSI numarasıyla yanıt verir.

    IMSI catcher'ların bir cihazı takip edebilmesi için, takip edilmesi istenen cihazla aynı konumda olması gerekir. Kolluk kuvvetlerinin IMSI catcher'larla takip yapabilmesi için, yasal izinlerinin olması gerekmektedir. Ancak, habis, yani kolluk kuvvetleri tarafından kullanılmayan yasadışı bir baz istasyon simülatörü, herhangi bir arama iznine tabi olmayacaktır.

    Günümüzde, IMSI catcher'ların tamamına karşı bir korunma mümkün değildir (bazı uygulamalar bu cihazların varlıklarını tespit edebildiklerini iddia etseler de, bu tespitler sorunsuz değildir). 2G bağlantının kapatılabildiği cihazlarda bu özelliği kapatmak faydalıdır. Faydalı olan başka bir yöntemse, yurtdışına çıkmayı planlamayan kişilerin, telefonlarının roaming özelliğini kapatmalarıdır. Ek olarak, Signal, WhatsApp, veya iMessage gibi şifreleme kullanan haberleşme uygulamalarını kullanarak, kullanıcılar haberleşme içeriklerinin başkaları tarafından takip edilemeyeceğinden emin olabilirler. Bu önlemleri alarak, bazı IMSI catcher'lara karşı kendinizi koruyabilirsiniz.

    Wi-Fi ve Bluetooth Takibi

    Modern akıllı telefonlarda, baz istasyonuyla haberleşmek için kullanılan arayüzünden farklı olan radyo sinyal vericileri bulunmaktadır. Bu cihazlarda ayrıca Wi-Fi ve Bluetooth desteği de bulunmaktadır. Bu sinyaller, cep telefonu sinyalinden daha güçsüz olduğu için, yalnızca cihazın bulunduğu oda veya aynı apartman gibi sınırlı bir alan içine yayılabilirler. Ancak, 2007 yılında Venezuelalı bir uzmanın da gösterdiği gibi, Wi-Fi sinyallerini 382 kilometre gibi çok uzun bir mesafeden de alabilmek, radyo enterferansının az olduğu kırsal alanlarda mümkündür. Bu tür kablosuz sinyaller, cihazlara bir kimlik atanması için kullanılan ve eşsiz olan MAC adreslerine sahiptir. Bu adresleri, gönderilen sinyali alabilen her cihaz okuyabilir.

    Bir bluetooth ve wi-fi modemine bağlanan telefon, MAC adresini bu cihazla paylaşır.

    Wi-Fi açıldığı zaman, sıradan bir akıllı telefon etrafına bir "yoklama sinyali" gönderir. Gönderilen bu sinyal telefonun MAC adresini içerir ve etraftaki cihazlara telefonun varlığını belirtir. Bluetooth cihazları da benzer şekilde çalışır. MAC adresi gibi tanımlayıcılar, mağazalarda veya kahvecilerdeki müşterilerin cihazların, yani bu cihazlara sahip kullanıcıların nasıl hareket ettikleri bilgisini toplamakta faydalı araçlardır. Ancak iOS ve Android işlemlerinin son sürümleriyle yayınlanan yamalarla, cihazların sahip oldukları MAC adreslerinin rastgele ve herhangi bir kullanıcı talebi olmadan değiştirilmesi sağlanarak, bu takibin yapılması zorlaştırılmıştır. MAC adresinin rastgele değiştirilmesi yazılım temelli bir özellik olduğundan, bu korumanın aşılabilme ve cihazın gerçek MAC adresinin yazılım hatası yüzünden sızabilme tehlikesi mevcuttur. Ek olarak, Android cihazları MAC adresini değiştiren bu özelliği doğru bir şekilde uygulayamayabilir (PDF dosyası).

    Modern telefonlar yoklama sinyali sırasında paylaştıkları MAC adreslerini genellikle değiştirseler de, birçok telefon bağlantı kurdukları ağlarla gerçek ve sabit MAC adresini paylaşır. Bu bilgiyi kullanan ağ operatörleri ise, belli bir telefonun zamanla hangi cihazlara bağlandığı bilgisini kullanarak, telefonun gerçek kimliğini tespit edebilir. Bu cihazlarla veya ağlarla kurulan bağlantı sırasında isminizi veya email adresiniz gibi bilgileri kullanmasanız bile kimliğinizi ele verebilirsiniz.

    Wi-Fi kullanan bir cihazın sabit MAC adresinin yazılımsal olarak değiştirilmesi özelliği, birçok işletim sisteminin sağlamaya başladığı özelliklerden biri haline geldi. Ancak düzgün çalışabilmesi için sabit bir MAC adresine ihtiyaç duyan cihazların varlığı, bu değişimi oldukça zorlaştırıyor. Örneğin, bir otelin ağına bağlanırsanız, bu ağ size ağa bağlanmanız için verdiği onayı MAC adresiniz üzerinden takip eder. Bu durumda yeni bir MAC adresi aldığınızda, ağ sizin başka bir cihaz kullandığınızı düşündüğünden, sizin ağla olan bağlantınızı keser ve kimliğinizi yeniden doğrulamanızı talep eder. Bu sorunun önüne geçmek için, iOS 14 ve sonrasını kullanan Apple cihazlarında her ağ için ayrı ve özel bir MAC adresi oluşturulabilir.

    Uygulamalar ve İnternet Sitelerinin Konum Bilgisi Sızdırması

    Modern akıllı telefonlarda, telefonun konumunu belirlemesi için sahip olduğu bazı özellikler bulunmaktadır. Telefon, bu konum belirlemesini GPS ve bazı durumlarda konum (lokasyon) şirketleri tarafından (bu tespit telefonun hangi baz istasyonuna veya Wi-Fi ağına bağlı olduğuna göre yapılır) sağlanan hizmetleri kullanarak gerçekleştirir. Bu özelliklerin tamamı, Apple ve Google tarafından "Konum Servisleri" adında bir çatı altında toplanır. Uygulamalar, telefona konum bilgisini sorarak, aldıkları cevaba göre bir hizmet sunmaya çalışırlar. Harita uygulamaları bu uygulamalara en iyi örnektir. İki işletim sistemi de, uygulamaların ne gibi durumlarda bu bilgiyi talep edecekleriyle ilgili kullanıcıyı koruma amaçlı değişikliklere gitmiştir. Ancak bazı uygulamalar GPS veya Konum Servisleri altında toplanan bilgileri kullanma konusunda diğer uygulamalara göre daha agresif bir tavır sergileyebilirler.

    Konum hizmetlerine benzeyen bir ayarlar menüsünün görseli.

    Bu uygulamaların bazıları ağ üzerinden konum bilginizi servis sağlayıcısına taşır ve uygulamanın ve üçüncü parti servislerin konumunuzu belirlemesine imkan sağlar. Bu uygulamaların geliştiricilerinin kullanıcıları takip etmek gibi bir amaçları olmasa dahi, istemsizce bunu yapabilirler ve kullanıcıların konum bilgilerini sızdırabilir veya devletlerin ele geçirmesine sebep olabilirler. Bazı akıllı telefonlar, uygulamaların fiziksel konumunuzun tespitini engellemeniz için size bazı imkanlar sunar. Eğer gizliliğinize önem veriyorsanız, bu ayarlara göz atabilirsiniz ve en azından konum bilgilerinizin güvendiğiniz uygulamalarla geçerli bir sebepten ötürü paylaşıldığından emin olabilirsiniz.

    Konum takibi, aksiyon filmlerinde olduğu gibi herhangi bir kişinin o an nerede olduğunun anlık takibiyle alakalı değildir. Konum bilgileri aracılığıyla kişilerin daha önce bulunduğu yerler, inançları, katıldıkları etkinlikler, ve kişisel hayatlarına dair birçok bilgi edinilebilir. Örneğin, konum bilgisini kullanarak kişilerin yaşadıkları romantik ilişkileri, katıldıkları protesto gösterilerini, veya bir gazetecinin gizli haber kaynağını ortaya çıkarmak mümkündür.

    Aralık 2013'te Washington Post gazetesinde yer alan haberde, kendi geliştirdiği konum takip araçları sayesinde servis sağlayıcıların ağlarına sızan NSA'in, hangi telefonun ne zaman ve hangi baz istasyonlarıyla temas kurduğu bilgisini toplayarak, "küresel çapta telefonların konum bilgilerini" topladığı belirtilmişti. CO-TRAVELLER ismindeki araç, bu verileri kullanarak farklı kişilerin hareketleri hakkında (hangi kişilerin hangi cihazlarla birlikte hareket ettiği ve bu kişilerden birinin diğerini takip edip etmediği) bilgisini topladığı haber edilmişti.

    Davranışsal Verilerin Toplanması ve Mobil Reklam Tanımlayıcıları

    Bazı uygulamalar ve web sitelerinin topladığı konum verilerine ek olarak, birçok uygulama yükleme, açılma, kullanım ve diğer temel aktiviteleri içeren verileri de paylaşmaktadır. Bu veriler toplandıktan sonra, reklam ekosistemi içerisinde yer alan üçüncü parti şirketlerle gerçek zamanlı ihale (RTB, yani real-time bidding) ismindeki yöntem aracılığıyla paylaşılmaktadır. Bireysel olarak pek bir anlam içermeyen bu veriler, topluca ele alındığında birçok davranışı ortaya çıkarabilir.

    Reklam teknoloji firmaları, uygulama geliştiricilerinin uygulamalarında reklam göstermelerini sağlamak amacıyla onları yazılım geliştirme kiti (SDK, yani software development kit) denilen yazılımları kullanmaya ikna eder. Bu kitin içerisindeki kod, kullanıcıların uygulamayla etkileşimini takip ettikten sonra bu verileri üçüncü parti takip şirketiyle, yani yazılım geliştirme kitini yazan şirketle paylaşır. Bu veriyi elde eden şirket, daha sonra bu verileri başka reklam şirketlerine, reklam sağlayıcılarına veya veri brokerlarına milisaniyeler süren gerçek zamanlı ihaleler aracılığıyla satar.

    Tam ekranlı bir reklamın altında yatan gerçek: yazılım geliştirme kitleri (SDK). SDK'ler, kullanıcıların bir uygulamayı nasıl kullandığını takip ederek, kullanıcıların uygulamayı yükleme ve açma verilerini, cinsiyet bilgilerini, aktivitelerini ve konum bilgilerini içeren veri setini uzaktaki bir sunucuya gönderir.

    Toplanan bu veriler, tek bir cihaza mobil reklam tanımlayıcıların (MAID, yani mobile advertising identifier) atadığı eşsiz ve rastgele numara sayesinde anlamlı hale gelir. MAID'i kullanarak farklı uygulamaların topladığı verileri bir araya getiren reklam şirketleri ve veri brokerları, MAID numarası atanmış kullanıcılar hakkında bir kimlik profili oluşturur. MAID verisi kendi başına kullanıcının gerçek kimliğiyle ilgili bir bilgi içermez. Ancak bir uygulama için kullanılmış isim veya email bilgisini bir araya getiren reklamcı ve data brokerları için MAID bilgisini gerçek bir kimlikle eşleştirmek çok sıradan ve basit bir işlemdir.

    Mobil reklam kimlikleri, iOS ve Android işletim sistemleri, oyun konsolları, tabletler, ve akıllı TV cihazları gibi cihazlarla birlikte gelmektedir. Android işletim sisteminde, indirilen her uygulamanın ve bu uygulamalarda yer alan üçüncü parti yazılımların her birinin MAID numarasına erişimi vardır. Ek olarak, Android işletim sistemi üzerinde kullanıcıların bu erişimi engelleme şansı yoktur. Kullanıcıların yapabileceği tek şey, MAID numarasını sıfırlamak, yani eski numarayı yenisiyle değiştirmektir. iOS işletim sisteminde ise, son çıkan sürümle birlikte uygulamalar telefonun reklam kimliğini kullanmadan önce kullanıcıların iznini almak zorundadır. Ancak zararsız gibi gözüken bir uygulamanın istediği bu izne onay veren kullanıcıların, bu iznin sonuçları hakkında ne kadar bilgili olduğu şüphelidir.

    Mobil uygulamalar sayesinde toplanan davranışsal veriler genellikle reklam şirketleri ve veri brokerları tarafından, ticari ve politik amaçlarla kullanılmaktadır. Ancak devletlerin, özel şirketlerin yaptığı bu gözetimden de faydalandığı daha önce belgelenmiştir.

    İnternet tarayıcılarının yaptığı takiple ilgili daha detaylı bilgi için Parmakizleme Nedir? ismindeki makaleye göz atın.

    Son güncelleme: 
    05-05-2021
  • Cep Telefonları: Mobil Haberleşme Takibi

    Mobil Haberleşmeleri Gözetleme

    Mobil telefon ağlarının orijinal tasarımında, kullanıcıların görüşmelerini korumak gibi teknik bir detay düşünülmemişti. Böylece doğru bir radyo alıcıya sahip herkes, telefon görüşmesi yapan kişilerin telefon görüşmelerini dinleyebiliyordu.

    Bu durum, günümüzde şifreleme teknolojilerinin kullanımının yaygınlaşmasıyla biraz daha iyi bir hale geldi. Ancak bu teknolojilerin birçoğu kötü tasarlanmış teknolojiler (bazı durumlarda bu tasarımlardaki eksiklikler devletlerin baskısıyla kasten göz ardı ediliyor). Şifreleme teknolojisini her operatör uygulamayabilir, bu yüzden telefon görüşmelerinizin şifrelenip şifrelenmediği, kullandığınız operatörden, yaşadığınız ülkeye göre farklılık gösterebilir. Servis sağlayıcınız bu teknolojiyi kullansa bile, farklı sebeplerden ötürü şifrelemeyi yanlış uyguluyor da olabilir. Örneğin, bazı ülkelerde şifreleme kullanmak yerine, servis sağlayıcıları eskimiş teknolojiler kullanırlar. Böylece doğru bir radyo alıcıya sahip herkes, telefon görüşmesi yapan kişilerin telefon görüşmelerini ve metin mesajlaşmalarını takip edebilir.

    Bu yüzden güvenliğiniz için yapılabilecek en iyi şey, geleneksel telefon aramaları ve SMS mesajlarının güvenli olmadığını varsaymaktır. Bu şifrelemeyle alakalı detaylar çeşitli değişkenlere göre farklılık gösterse de, şifrelemenin en iyi uygulandığı servis sağlayıcılarında bile bu şifreleme zayıf ve birçok durumda aşılabilir durumdadır.

    Haberleşmelerinizin daha güvenli olmasını istiyorsanız Başkalarıyla Haberleşmek isimli rehberimize göz atın.

    Bu durum, güvenli haberleşme uygulamalarından birini kullanıyorsanız biraz daha farklıdır, çünkü bu uygulamalar haberleşmelerinizi güvende tutmak için daha güçlü şifreleme tekniklerinden faydalanırlar. Bu uygulamaların sağlayacağı güvenlik, hangi uygulamayı kullandığınıza göre değişkenlik gösterir. Sorulması gereken en önemli sorulardan biri, kullanılan uygulamanın uçtan uca şifreleme kullanıp kullanmadığı ve uygulama geliştiricisinin bu şifrelemeyi istediğinde kaldırma veya aşma kabiliyetinin olup olmadığıdır.

    Birbirine uçtan uca şifreli mesaj gönderen iki telefonun animasyonu. Gönderilen mesaj bir ağdan diğer ağa geçerken, arada bulunan cihazlar mesajın içeriğini değil, yalnızca bir mesaj gönderildiği bilgisine sahip olabilir.

    Daha Fazla Bilgi İçin

    Son güncelleme: 
    05-05-2021
  • Cep Telefonları: Cep Telefonu Bileşenleri ve Sensörleri

    Cep Telefonu Bileşenleri ve Sensörleri

    Aşağıdaki bölümde modern akıllı telefonlarda yer alan ve çevresel bilgileri uygulamalara iletmekle görevli fiziksel anten bileşenlerini ayrı başlıklar halinde detaylandıracağız.

    GPS

    Küresel Konumlama Sistemi, diğer adıyla GPS (Global Positioning Sistem), dünyanın herhangi bir yerindeki bir cihazın konumunu çabuk ve doğru bir şekilde bulmasına yardımcı olan bir teknolojidir. Amerikan Devleti'nin kamuya açık bir hizmet olarak sunduğu GPS teknolojisi, uydulardan topladığı sinyalleri analiz ederek çalışır. Bu uyduların GPS kullanıcılarını izledikleri veya GPS kullanıcılarının konumlarını takip ettikleri yanlış bir kanıdan ibarettir. GPS uyduları yalnızca sinyal gönderebilir. GPS uyduları telefonlardan bir sinyal alamaz veya onları takip edemez. Bu uydular ve GPS sistem operatörlerinin herhangi bir kullanıcının veya cihazın o an nerede olduğu, hatta anlık olarak sistemi kaç kişinin kullandığı bilgisini dahi bilmesi mümkün değildir.

    Cep telefonları gibi cihazların içinde bulunan GPS alıcıları, farklı uydulardan gelen radyo sinyallerinin geliş hızını hesaplayarak kullanıcılarına konum bilgisini sunar. Bu yüzden GPS uydularının GPS kullanıcılarını takip etmesi teknik olarak mümkün değildir.

    Peki GPS uydularının kullanıcıları takip etmesi teknik olarak mümkün değilse, "GPS takibi" nasıl gerçekleştirilir? Bu takip, genellikle kullanıcıların telefonlarına yükledikleri uygulamalar aracılığıyla gerçekleştirilir. Bu uygulamalar, telefonun işletim sisteminden GPS'in belirlediği konum bilgisini talep ederler. Bu bilgi talep edildikten sonra, modern telefonlar kullanıcılara uygulamanın bu bilgiye erişmesini isteyip istemediklerini sorarlar. Bu erişim izni verilirse, kullanıcının konum, yani GPS bilgisi internet aracılığıyla başkalarına aktarılır. Telefonlara ek olarak, araba ve akıllı ev hub'ları da GPS bilgisini ağ üzerinden taşıyabilir. Modern telefonların bir çoğu, GPS teknolojisine ek olarak GLONASS (Rusya), BDS (Çin), ve GALILEO (Avrupa Birliği) gibi çok-bantlı konum teknolojilerini desteklemektedir.

    Yakın Alan İletişimi (NFC)

    Bu kablosuz, radyo frekans tabanlı tanımlama sistemi modern telefonlarda mevcuttur. Bu teknoloji genellikle temassız mobil ödeme sistemi veya temassız tanımlama sistemi olarak pazarlanır. NFC en fazla 4 santimetrelik bir menzile sahiptir ve aynı anda yalnızca birkaç kilobaytlık veri saklayabilir. NFC teknolojisi aynı zamanda radyo frekansı ile tanımlama, diğer adıyla ise RFID olarak bilinen ve genellikle posterler veya diğer nesneler üzerinde bulunan etiketleri pasif olarak okuyabilme kabiliyetine sahiptir. Bu bilgi önemli bir bilgi, çünkü NFC tek başına dünya üzerindeki konum bilginizi sızdırabilecek bir teknoloji olmasa bile, NFC aracılığıyla temassız bir ödeme yaptığınızda veya bir binaya girdiğinizde, sizin hangi saatte nerede olduğunuzun kaydını tutmaya yardımcı olabilir. NFC teknolojisi, "akıllı ev cihazlarını" açmak ve kapatmak için de kullanılabilir. Eğer bu özellikten rahatsız oluyorsanız, NFC sensörünü cihazınızın ayarlarına girerek kapatabilirsiniz. Android işletim sisteminde bu ayarı Ayarlar > Bağlı Cihazlar > Bağlantı bölümünden kapatabilirsiniz. iOS işletim sisteminde ise NFC'nın kullanımı Apple Pay gibi uygulamalar için sınırlandırıldığından, NFC sensörünü kapatmanın bir yolu yoktur. NFC'nin iOS üzerinde kullanımı oldukça sınırlıdır.

    Biyometrik Sensörler

    Telefonlarda GPS, Wi-Fi ya da baz istasyonları kadar bilgi taşımayan başka sensörler de mevcuttur. Aşağıda listeleyeceğimiz sensörler, daha önce bahsettiğimiz sensörlerle ilgili verdiğimiz bilgilere ek olması için verilmiştir. Bu sensörlerin kimliğinizi belirlemede faydalı olacak bilgiler taşıma ihtimali olsa da, yalnızca bu sensörlerden alınan bilgilerle bir kimlik tespiti yapılması ihtimali oldukça düşüktür.

    İvmeölçer: Genellikle spor uygulamaları tarafından kullanıcıların ne tür bir aktivite yaptıklarını belirlemede kullanılan bir hareket sensörüdür. Bu sensör navigasyon uygulamaları tarafından seyahat sırasındaki hızınızı ölçmek için de kullanılır. Bilgisayar güvenliği uzmanları tarafından ivmeölçerlerin yakındaki bir bilgisayarın titreşimlerini ve tuş darbelerini %80 oranında bir doğrulukla tespit edebildiği belgelenmiştir. Bu tespitin normal yollarla yapılması oldukça zordur. Telefonunuzu bir çantaya veya cebinize koyarak bunun önüne geçebilirsiniz.

    Jiroskop: Cihazın oryantasyonunu ve açısal hızını algılayan bir hareket sensörüdür. Telefonumuzu sürekli hareket ettirdiğimizden, bu sensör sürekli yeni bilgiler toplar. Yapılan araştırmalarda, ses dalgalarını toplayabilme kabiliyetinden ötürü bu sensörün ilkel bir mikrofon olarak kullanılabilme olasılığına dikkat çekilmiştir. Bir odanın derecesi, nem oranı, aldığı ışık seviyesi, basıncı ve bunun gibi bilgileri toplayabilecek çevresel, hareket veya konum bazlı başka sensörler de bulunmaktadır. Bu tür sensörler genellikle düşük enerji kullanan sensörler olduğundan, Konum Takibi servisleri gibi kullanıcıların konumunun belirlenmesinde önemli bir rol oynamazlar. Bu sensörlerin kullanım alanları Android ve iOS işletim sistemlerinde farklılıklar gösterir (bu sensörlerin kullanımı iOS işletim sistemi üzerinde daha kısıtlıdır, çünkü uygulama geliştiricilerinin bu sensörleri kullanabilmeleri için bir gerekçe göstermeleri gerekmektedir). Genellikle uygulamalar bu sensörleri kullanmak için ayrı bir izin talebinde bulunmazlar. Ancak bu sensörlerin topladığı bilgilerin bir kullanıcının kimliğini açığa çıkarabilmesi için, o kullanıcının başka bir aktör tarafından gelişmiş araçlar kullanılarak aktif bir şekilde hedeflenmesini gerektirir.

    Dikkat edilmesi gereken diğer sensörler:

    • Mıknatısölçer
    • Barometre
    • Yakınlık sensörü
    • Ortam ışığı sensörü
    • Soli sensörü (bu sensör Pixel 4 telefonlarına özeldir)
    • LiDAR
    • U1 çipi (iPhone'a özel bir anten)
    Son güncelleme: 
    05-05-2021
  • Cep Telefonları: Kötü Amaçlı Yazılımlar

    Kötü Amaçlı Yazılımlar

    Kötü amaçlı yazılımlar (malware), telefonlara birçok farklı yoldan sızabilir. Kullanıcı kötü amaçlı yazılım yüklemek için kandırılabilir veya bir aktör, kullanıcının cihazının sahip olduğu bir güvenlik açığını kullanarak bu cihaza kötü amaçlı yazılım yükleyebilir. Diğer bilgisayarlarda da olduğu gibi, bu kötü amaçlı yazılım daha sonra cihazın kullanıcısını takip eder.

    Örneğin, kötü amaçlı bir yazılım, telefonda saklanan metin mesajları veya fotoğraflar gibi gizli verileri okuyabilir. Kötü amaçlı yazılımlar, bunu genellikle eski bir işletim sistemi sürümünü kullanan cihazlar üzerinde yapabilir. Kötü amaçlı yazılımlar aynı zamanda cihazların sahip olduğu sensörleri aktifleştirerek, cihazların konumu hakkında bilgi toplayabilir ve cihazın mikrofonunu veya kamerasını aktifleştirerek cihazı aktif bir gözetim aracına dönüştürebilir. Kötü amaçlı yazılımların bir başka zararı ise normalde uçtan uca şekilde şifrelenen, ancak telefonda kullanıcıların okuyabilmesi için şifresiz hale getirilmek zorunda olan Signal ve WhatsApp konuşmalarının içeriklerini okuyabilmeleridir.

    Konuyla ilgili daha fazla bilgi için Kendimi Kötü Amaçlı Yazılımlara Karşı Nasıl Koruyabilirim? başlıklı makalemizi okuyun.

    Devletler sıradan insanların, hatta kendi kamu personelinin dahi hassas binalara ve tesislere kişisel cep telefonlarıyla girmelerini, kötü amaçlı yazılımların bu telefonlara sızmış olabileceği ihtimaliyle yasaklar.

    Yukarıda da belirttiğimiz gibi, telefonun kapatılması gibi önlemler mobil operatörler tarafından algılanabilir. Örneğin, on insanın her biri aynı binaya gidiyorsa ve telefonlarını aynı anda kapatırlarsa, mobil operatör veya mobil operatörünün kayıtlarını inceleyen biri, bu on insanın aynı yerde toplanacağı ve toplantının hassas bir içeriğe sahip olabileceği çıkarımında bulunabilir. Bu kişilerin telefonlarını kapatmak yerine yanlarında taşımamaları, yani evlerinde veya ofislerinde bırakmaları, bu çıkarımın yapılmasını zorlaştırır.

    Telefonunuzu Kapatmanın Faydaları ve Zararları

    Telefonların arama yapmak için kullanılmadıkları zamanlarda bile aktif olarak insanları takip ettikleriyle ilgili yaygın bir görüş bulunmaktadır. Bu görüşün sonucu olarak, insanlar hassas bir konuda konuşacakları zaman önlem olarak telefonlarını kapatabilir, hatta telefonlarının pilini çıkarma gibi bir yola bile başvurabilirler.

    Telefonun pilini çıkarma yöntemi, ekranı kapalıymış gibi göstererek kullanıcıyı telefonun kapatıldığı konusunda yanıltabilen (siyah bir ekran göstererek) ve böylece kullanıcıyı gözetleyebilen kötü amaçlı yazılımların varlığıyla ilgili bir tavsiyedir. Bu tür kötü amaçlı yazılımların bazı cihazlar için mevcut olduğunu biliyoruz, ancak bu yazılımların ne kadar iyi çalıştıkları veya ne kadar yaygın oldukları konusunda net bir bilgiye sahip değiliz. Ayrıca, arka kapağa ve ön ekrana sahip yeni model akıllı telefonların bu iki bölümünü el ile ayırmak oldukça zor olduğundan, pil çıkarma yöntemi cihazınıza zarar vermenize sebep olabilir ve bu işlem cihazınızın garantinizi geçersiz kılabilir.

    Cep telefonlarına gelen sinyalleri engellemenin bir başka yolu da Faraday kafesi veya çantaları kullanmaktır. Ancak çantalar daha erişilebilir ve pratiktir. Bu çantalar, telefon çantada olduğu müddetçe telefona erişmeye çalışan sinyalleri, telefona sızılmış olsa bile engeller. Bu sinyallerin başlıcaları 2G, 3G, 4G, 5G, Bluetooth, Wi-Fi, ve GPS sinyalleridir.

    Tek Kullanımlık Telefonlar

    Geçiçi olarak kullanıldıktan sonra atılan telefonlara tek kullanımlık telefon (burner phone) denir. Devlet gözetiminden kaçmaya çalışan insanlar, haberleşmelerinin tanınmaması adına telefonlarını ve telefon numaralarını sık sık değiştirme ihtiyacı hissedebilirler. Bu ihtiyaca sahip insanlar, bunun için kişisel bir kredi kartı veya banka hesabına bağlı olmayan, ödemesi önceden yapılmış ve kimlikleriyle eşleştirilemeyecek bir telefon ve SIM kartı kullanırlar. Bazı ülkelerde bu işlem oldukça basittir, ancak diğer ülkelerde bu işlemi gerçekleştirmek yasal veya pratik sebeplerden ötürü zor olabilir.

    Bu tekniğin farklı birkaç limitasyonu bulunmaktadır.

    SIM Kartları

    Öncelikle, SIM kartını değiştirmek veya SIM kartını bir cihazdan diğerine aktarmak sınırlı bir koruma sağlar, çünkü mobil ağlar yalnızca SIM kartını değil, SIM kartının takılı olduğu cihazı da takip ederler. Bir diğer deyişle, ağ servis sağlayıcı, hangi SIM kartının hangi cihazla ne kadar kullanıldığı bilgisine sahiptir ve SIM kartını ve cihazı ayrı ayrı takip edebilir. Ek olarak, devletler farklı birkaç cihazın aynı kişiye ait olup olmadığıyla alakalı analizler ve hipotezler üretebilen teknikleri geliştirmeye devam etmekteler. Bunu yapmanın birkaç yolu vardır. Örneğin, bir analist iki farklı cihazın aynı anda hareket edip etmediğini kontrol edebilir, ya da bu cihazlar farklı zamanlarda kullanılıyor olsalar bile bunların aynı fiziksel konumda taşınıp taşınmadığını öğrenebilirler.

    eSIM (dahili SIM) teknolojisi ve yazılım tabanlı SIM kartlarıyla alakalı bir not. Dahili SIM veya yazılım tabanlı SIM kartları, ağ sağlayıcısına kablosuz yazılım güncellemesi aracılığıyla SIM kartına yeni bir profil ekleme ve silme kabiliyetini kazandıran dahili bileşenlerdir.

    Örüntü Takibi ve Tek Kullanımlık Telefonlar

    Telefon servislerinin anonim olarak doğru bir şekilde kullanılmasının önündeki engellerden bir diğeri de, telefon kullanım örüntülerinin (pattern) özgün olmalarıdır. Örneğin, bir iş arkadaşlarınızı ve aile üyenizi düzenli bir şekilde telefonla arayabilirsiniz. Farklı gruba ait bu iki kişi, başka kişilerden telefon alsalar bile, dünyada bu iki kişiyi düzenli olarak arayan tek numara muhtemelen size ait olacaktır. Telefon numaranızı aniden değiştirseniz bile, telefon numaranızı değiştirmeden önceki alışkanlıklarınızı uygulamaya devam ederseniz, yeni numaranın da size ait olduğunu keşfetmek gayet kolay olacaktır. Bu örüntü takibinin tek numara üzerinden değil, aradığınız numara kombinasyonlarının eşsizliği üzerinden yapılabileceğini unutmayın (The Intercept haber sitesi, NSA'in PROTON isimli sistemi kullanarak kişilerin kimliğini aynen bu şekilde bulduğunu haberleştirmişti). Aynı uygulamayla ilgili daha farklı bir örneği Hemisphere FOIA belgesinde (PDF) bulabilirsiniz. Bağlantıdaki belge, geçmişe ait telefon görüşmelerini içeren Hemisphere veritabanını tanımlıyor ve bu programı yöneten kişilerin benzer görüşme örüntülerini takip ederek tek kullanımlık telefonları nasıl birbirleriyle ilişkilendirebildiklerini gösteriyor. Belge, tek kullanımlık telefonlara "kullan at telefon" tanımını yapıyor, çünkü kişiler bu cihazları "kullan"dıktan sonra "at"ıyorlar, ancak veritabanının analitik algoritmaları, telefon görüşmeleri aynı numaralar üzerinden devam ettiği müddetçe, değişen telefonlar arasındaki bağlantıyı ortaya çıkarabiliyor.

    Tüm bu bilgiler ele alındığında, devlet gözetimine yakalanmadan tek kullanımlık telefon kullanmanın püf noktaları, SIM kartlarının veya cihazların yeniden kullanılmaması, farklı cihazları bir arada taşımama, farklı cihazların kullanıldığı konumlar arasında fiziksel bir bağlantı oluşturmama, tek kullanımlık telefonları uzun vadeli bir çözüm olarak görmeme, ve farklı cihazlarla aynı kişileri aramama ve bu kişiler veya cihazlar tarafından aranmamaktır. Bu püf noktalarına ek olarak elbette başka faktörleri de hesaba katmak gerekebilir. Örneğin tek kullanımlık telefonun satıldığı dükkanın fiziksel bir gözetim altında olması veya bir yazılımın telefondaki kişinin sesini otomatik olarak tanımlayabilme ihtimalini de göz önüne almak gerekebilir.

    Telefon Analizi ve El Konulmuş Telefonlar

    El Konulmuş Telefonların Adli Analizi

    Mobil cihazların adli analizi, gelişmiş bir uzmanlık alanıdır. Uzman bir analist bir cihazı, özel bir makineye bağlar ve bu makine cihazın sakladığı ve içinde daha önceki aktivitelerin, görüşme kayıtlarının, fotoğrafların, WhatsApp mesajlarının, konum tarihçesinin, uygulama verilerinin ve metin mesajlarının yer aldığı verileri okur. Adli analiz sonucunda, bir cihazda kullanıcının bile erişiminin olmadığı silinmiş mesajlar gibi bazı bilgiler kurtarılarak tekrar okunabilir. Adli tıp analiziyle özellikle eski telefonların şifre korumalı ekranları aşılarak telefona ve içindeki verilere erişim sağlanabilir.

    Belli veri ve kayıtların adli analiz sonucunda okunabilmesini engelleyen veya bu verileri şifreleyen birçok akıllı telefon uygulaması ve yazılım bulunmaktadır. Bunlara ek olarak, cihazdaki belli bilgilerin uzaktan silinmesini sağlayan temizlik programları da mevcuttur. Ancak, cihazları bu verilerden arındırma işlemleri farklılık gösterir ve özellikle kişinin silme işlemini uzaktan gerçekleştirmeye çalışması gibi durumlarda bu işlemin önüne geçilebilir.

    Uzaktan silme programları, verileriniz bir suçlu tarafından ele geçirilmesi gibi bir durumda işe yarayabilir. Ancak kanıtların kasten yok edilmesi veya bir soruşturmayı engellemeye çalışmak ciddi bir suçtur. Böyle bir suç işlemeniz durumunda, bu suçu kanıtlamak devlet için iddia edilen suçları kanıtlamaktan daha kolay olabilir ve bunun sonucunda alacağınız ceza kesinleşebilir veya katlanabilir.

    Telefon Kullanımı Örüntülerinin Bilgisayar Analizi

    Devletler, birçok kullanıcının telefonundan toplanan verilerin bilgisayar yoluyla analiz edilerek belli örüntülerin otomatik olarak bulunması konusunda oldukça isteklidirler. Bu örüntülerin analiziyle devletler hangi insanların telefonlarını sıra dışı bir şekilde (örneğin gizlilikleri konusunda önlem almaya çalışan insanları) kullandıklarını tespit edebilmektedirler.

    İnsanların birbirlerini tanıyıp tanımadıklarını otomatik olarak tespit etme, bir kişinin birden fazla telefon kullanması veya değiştirmesi, insan gruplarının hareketlerinin takibi veya ne aralıklarla birbirleriyle buluştukları, hangi insanların telefonlarını sıra dışı bir şekilde kullandıkları, ve bir gazetecinin gizli haber kaynağı gibi bilgiler, devletlerin yapacağı veri analizi sonucu elde etmeye çalışabilecekleri bilgilerden bazılarıdır.

    Örüntü bazlı bu tür analizlerin yapılması, insanların ceplerinde çeşitli sensörlere ve modüllere sahip akıllı telefonları daha yaygın bir şekilde kullanmaya başlamasından sonra daha da kolay bir hal almıştır. Herkes kendi tehdit modelini oluşturmalıdır. Her kullanıcıyı kendilerine özel riskler hakkında düşünmeye ve kendilerini bu risklerden korumaya davet ediyoruz.

    Son güncelleme: 
    05-05-2021
Next:
JavaScript license information