Yeni bir araştırmaya göre, Android kullanıcıları daha ilk uygulamalarını açmadan Google tarafından izlenmeye başlanıyor. Trinity College Dublin’de Bilgisayar Sistemleri Bölüm Başkanı Prof. Doug Leith’in araştırması, Android cihazlarda kullanıcı onayı alınmadan çalışan takip mekanizmalarını ortaya koydu.
Google, kullanıcıların onayını almadan takip ediyor
Leith’in araştırmasına göre, Android cihazlarda Google’a veri gönderen birçok izleme mekanizması bulunuyor. Üstelik bu sistemler, kullanıcılar herhangi bir Google uygulamasını açmasa bile çalışıyor. Google Play Hizmetleri ve Google Play Store gibi önceden yüklenmiş uygulamalar aracılığıyla toplanan veriler, kullanıcıya herhangi bir bildirim gösterilmeden doğrudan Google’a iletiliyor.
Bu sistemlerden biri, Google’ın “DSID” çerezi. Google’ın belgelerine göre, bu çerez “kullanıcıların kişiselleştirilmiş reklam tercihlerini Google dışı web sitelerinde de uygulamak için” kullanılıyor ve iki hafta boyunca aktif kalıyor. Ancak Prof. Leith, bu açıklamanın belirsiz olduğunu ve Google’ın bu çerezi bırakmadan önce kullanıcılardan onay almadığını vurguluyor. Üstelik, DSID’yi devre dışı bırakmanın da bir yolu bulunmuyor.
Leith, DSID çerezinin, kullanıcının Google hesabına giriş yaptığı anda oluşturulduğunu ve Google Play Hizmetleri’nin veri klasörüne kaydedildiğini belirtiyor. Araştırmaya göre, bu çerez Google’ın reklam ve analitik verilerini bireysel kullanıcılarla ilişkilendirmek için kullandığı ana yöntem olabilir.
Google Android kimliği: Silinemeyen takip aracı
Araştırmada dikkat çeken bir diğer izleme aracı ise Google Android Kimliği. Kullanıcının Google hesabıyla ilişkilendirilen bu benzersiz cihaz kimliği, Google Play Hizmetleri’nin cihaza ilk bağlandığı anda oluşturuluyor. Kullanıcı hesabından çıksa bile bu kimlik, cihaz hakkında veri toplamaya devam ediyor. Bu verileri silmenin tek yolu ise cihazı fabrika ayarlarına sıfırlamak.
Leith, bu kimliğin tam olarak hangi amaçla kullanıldığının bilinmediğini söylüyor. Ancak araştırmasında, Google’ın kendi kodlarında bu kimliğin “kişisel olarak tanımlanabilir bilgi” (PII) olarak kabul edildiğini belirten bir geliştirici notuna rastladı. Bu durum, Avrupa’daki GDPR veri koruma yasalarıyla uyumluluk konusunda soru işaretleri yaratıyor.
Araştırma, Google’ın kullanıcıdan izin almadan Android cihazlara yerleştirdiği daha birçok izleme mekanizmasına dikkat çekiyor. Prof. Leith’e göre, bu uygulamaların birçoğu veri koruma yasalarına aykırılık teşkil edebilir.
Google’dan yanıt: “Gizliliğe öncelik veriyoruz”
Leith, araştırmasını yayımlamadan önce Google ile iletişime geçtiğini ve şirketin yorum yapması için zaman tanıdığını belirtti. Ancak Google, araştırmacının sorularına sınırlı bir yanıt verdi. Gelen açıklamada, “Bu rapor, kullanıcılarımıza faydalı ürün ve hizmetler sunmak için kullandığımız bazı Google teknolojilerini ve araçlarını tanımlıyor. Araştırmacı hukuki yeterliliğe sahip olmadığını kabul ediyor ve raporun yasal analizine katılmıyoruz. Android’de kullanıcı gizliliği en büyük önceliğimizdir ve geçerli tüm gizlilik yasalarına uymaya kararlıyız.” ifadeleri yer aldı.
Google’ın, araştırmada belirtilen izleme mekanizmalarını değiştirmeyi planlayıp planlamadığına dair herhangi bir bilgi paylaşmadığı da vurgulandı.
Google’ın veri politikaları tartışma yaratmaya devam ediyor
Google’ın Android kullanıcılarından habersiz olarak izleme mekanizmaları çalıştırması ve yeni güvenlik sistemlerini otomatik olarak yüklemesi, kullanıcı gizliliği açısından önemli soruları beraberinde getiriyor.
Bu araştırma, Google’ın veri politikalarının hukuki uyumluluğu ve kullanıcıların mahremiyet hakları konusunda daha fazla şeffaflık gerekliliğini bir kez daha gündeme getirdi. Google’ın bu konudaki tutumu ve olası düzenlemeler ilerleyen dönemde daha fazla tartışmaya yol açabilir.
