GPS
Önde gelen bir akıllı telefon çipi satıcısı olan Qualcomm’un coğrafi konum belirleme hizmeti üzerinden kullanıcıları takip ettiğine dair yakın zamanlarda çıkan haberler, teknoloji basınında küçük bir çalkantı yarattı. Bu gönderide, gerçekleri ve saçmalıkları birbirinden ayırmak için hikayeyi gözden geçireceğiz ve coğrafi konum takibini gerçekten nasıl en aza indirebileceğimizi ele alacağız. İlk önce, coğrafi konumlandırmanın gerçekte nasıl çalıştığına bakalım.
Mobil cihazlar konumunuzu nasıl belirler?
Geleneksel konum belirleme yöntemi, GPS, GLONASS, Galileo veya Beidou sistemlerinden uydu sinyali alarak çalışır. Alıcı (akıllı telefon veya navigasyon cihazındaki çip) bu verileri hesaplayarak konum tespiti yapar. Bu oldukça doğru bir yöntemdir çünkü cihaz tarafından herhangi bir bilginin iletilmesini gerektirmez, sadece alım işlemi gerçekleştirir. Ancak bu coğrafi konum belirleme yönteminin iç mekanlarda çalışmama ve günlük olarak kullanılmadığında yavaş çalışma gibi dezavantajları bulunmaktadır. Yavaş çalışmasının nedeni, cihazın hesaplama yapabilmesi için uyduların tam konumunu bilmesi ve bu nedenle uydu konum ve hareketi hakkında bilgi içeren almanac adlı veri setini indirmesine gerek duymasıdır. Bu işlem doğrudan uydudan veri alınması halinde 5 ila 10 dakika arasında sürer.
Doğrudan uydudan indirmeye kıyasla daha hızlı bir alternatife sahip olan cihazlar, A-GPS (Yardımlı GPS) adı verilen teknoloji sayesinde almanac veri setini internet üzerinden saniyeler içinde indirebilir. Orijinal spesifikasyonda sadece gerçek uydu verileri iletiliyordu ancak bazı geliştiriciler, birkaç gün boyunca alıcının interneti olmadığı durumlarda bile koordinat hesaplamasını hızlandırmak için haftalık uydu konum tahmini sistemi ekledi. Bu teknoloji, Tahmini Uydu Veri Hizmeti (PSDS) olarak adlandırılır ve yukarıda bahsedilen Qualcomm hizmeti, bugüne kadar en etkileyici uygulamalardan biri olarak kabul edilir. Hizmet, 2007 yılında “gpsOne XTRA” adıyla başlatıldı, 2013 yılında “IZat XTRA Assistance” olarak yeniden adlandırıldı ve son olarak “Qualcomm GNSS Assistance Service” adını aldı.
Uydu sinyali alımı iç mekanlarda nasıl çalışır ve SUPL nedir?
Yukarıda belirtildiği gibi, coğrafi konumlandırmanın dezavantajlarından biri iç mekanda kullanıma açık olmamasıdır. Bu nedenle, akıllı telefonların konumunu belirlemek için başka yöntemler kullanılır. 90’lardan kalma klasik yöntemlerden biri, mevcut noktada hangi hücresel baz istasyonlarından veri alınabileceğini kontrol etmektir. Bu yöntem, tam konumları bilinen istasyonlardan gelen sinyal güçlerini karşılaştırarak cihazın yaklaşık konumunu hesaplar.
Küçük değişikliklerin ardından modern LTE ağları tarafından da desteklenebilir hale gelmiştir. Akıllı telefonlar ayrıca yakındaki Wi-Fi erişim noktalarını kontrol ederek de yaklaşık konum belirleme işlemini gerçekleştirebilir. Bu hizmet, genellikle Wi-Fi erişim noktaları hakkında bilgi depolayan merkezi veritabanları tarafından etkinleştirilir ve Google Konum Hizmeti gibi belirli hizmetler tarafından sağlanır.
Tüm coğrafi konumlandırma yöntemleri mobil operatörler ve akıllı telefon, mikroçip ve işletim sistemi geliştiricileri tarafından desteklenen bir standart olan SUPL (Güvenli Kullanıcı Düzlemi Konumu) tarafından tanımlanır. Kullanıcının konumunu bilmesi gereken uygulamalar, mobil işletim sistemindeki mevcut yöntemler arasından en hızlı ve en doğru kombinasyonu kullanarak bilgi alır.
Gizlilik garantisi yoktur
SUPL hizmetlerine erişim, kullanıcı gizliliğinin ihlaliyle sonuçlanacağı anlamına gelmez ancak sıklıkla veri sızıntısı yaşanmaktadır. Telefonunuz yakındaki hücresel baz istasyonlarını kullanarak konumunuzu belirlediğinde, talebin hangi abone tarafından gönderildiği bilgisi ve konumunuz mobil operatör ile paylaşılır. Google, Konum Hizmetleri aracılığıyla kullanıcının konumunu ve tanımlayıcısını kaydederek gelir elde etmektedir ancak teknik olarak bu gereksizdir.
A-GPS ise sunucular teorik olarak abonelerin tanımlayıcılarını toplamadan veya verilerini saklamadan gerekli verileri sağlayabilir. Ancak birçok geliştirici her ikisini de yapar. Android’in standart SUPL uygulaması, SUPL talebinin bir parçası olarak akıllı telefona IMSI (benzersiz SIM numarası) gönderir. Akıllı telefondaki Qualcomm XTRA istemcisi, abonelere IP adresleri de dahil olmak üzere »teknik tanımlayıcı» iletir. Qualcomm’a göre, verilerin “kimliği gizlenir”. Yani abone tanımlayıcıları ile IP adreslerini birbirine bağlayan kayıtlar 90 gün sonra silinir ve yalnızca belirli “iş amaçları” için kullanılır.
Önemli bir nokta: A-GPS talebinden elde edilen veriler, kullanıcının konumunu tespit etmek için kullanılamaz. Sunucudan sağlanan almanac, Dünya’nın her yerinde aynıdır. Konumu hesaplayan cihaz, kullanıcının cihazıdır. Başka bir deyişle, hizmet sahipleri tarafından depolanan tek şey, belirli bir tarihte sunucuya istek gönderen kullanıcıyla ilgili bilgilerdir, kullanıcının konumu değildir.
Qualcomm’a yöneltilen suçlamalar
Qualcomm’u eleştiren yayınlar, Paul Privacy adlı bir kişi tarafından Nitrokey sitesinde yayınlanan araştırmaya atıfta bulunmaktadır. Bu makale, Qualcomm çiplerine sahip akıllı telefonların, kullanıcıların kişisel verilerini şifrelenmemiş bir HTTP protokolü aracılığıyla şirketin sunucularına gönderdiğini iddia etmektedir. Donanım düzeyinde uygulanan bir işlem olduğu için kimse tarafından kontrol edilmeden gerçekleştiği söylenmektedir.
Qualcomm GNSS Yardım Hizmeti’ne benzer hizmetlerin, yukarıda bahsedilen veri gizliliği sorunlarını içerdiği doğru olsa da, belirtilen araştırmanın şu hataları içerdiği ve kullanıcıları gereksiz yere korkutup yanılttığı bir gerçektir:
- Eski akıllı telefonlarda, bilgiler gerçekten de güvenli olmayan HTTP protokolü üzerinden iletiliyordu. Ancak Qualcomm 2016 yılında bu XTRA güvenlik açığını düzeltti.
- Lisans sözleşmesine göre, yüklü uygulama liste bilgisi gibi bilgilerin XTRA hizmetleri aracılığıyla iletiliyor olabileceği doğrudur ancak pratik testler (paket incelemesi ve Android kaynak kodunun incelenmesi), bu durumun gerçekten yaşanıp yaşanmadığını kanıtlayamamıştır.
- Araştırmacıların ilk iddialarının aksine, veri paylaşım işlevi mikroçipte (temel bant) gömülü olmaktan ziyade işletim sistemi seviyesinde uygulanmaktadır. Bu da işletim sistemi geliştiricileri ve modlama topluluğu tarafından kontrol edebileceği anlamına gelmektedir. Akıllı telefonlarda belirli SUPL hizmetlerini değiştirme ve devre dışı bırakma işlemi, 2012’den beri bilinen bir işlemdir ancak bu işlem, gizlilik nedenlerinden ziyade GPS’in daha hızlı çalışmasını sağlamak amacıyla yapılmaktadır.
Casusluk koruması: herkes ve ekstra tedbir almak isteyenler için
Yani Qualcomm (muhtemelen) bizi izlemiyor. Unutmamak gerekir ki, farklı bir düzeyde de olsa coğrafi konum üzerinden takip yapılması hala mümkündür. Hava durumu uygulamaları ve günlük olarak kullandığınız görünüşte zararsız programlar, bu tür bir takibi sistematik olarak gerçekleştirir. Konumunuza erişimi olan uygulama sayısını mümkün olduğunca azaltmanızı önemle tavsiye ederiz. Sonuç olarak, hava tahmini almak için konum seçme veya çevrimiçi alışveriş yaparken teslimat adresinizi manuel olarak girme gibi işlemler abartılacak kadar zor değildir.
Konumlarının kayıt altına alınmasını önlemek isteyen kişiler, daha fazla koruma için şu adımları takip etmelidir:
- Akıllı telefonunuzda güzelim GPS dışında her coğrafi konum hizmetini devre dışı bırakın.
- Telefonunuzun SUPL hizmetlerine erişmesini engellemek için gelişmiş araçları kullanın. Bu işlem, akıllı telefon modeline ve işletim sistemi türüne bağlı olarak DNS sunucusunu, sistem güvenlik duvarını, yönlendiricisini filtreleyerek veya akıllı telefon ayarlarını kullanarak yapılabilir.
- Belki de cep telefonu kullanmamak en iyi fikirdir! Yukarıdakilerin hepsini yapsanız bile cep telefonu operatörünüz yaklaşık konumunuzu her zaman bilir.
