Dün bir ihtiyaç üzerine Akbank müşterisi haline geldim ve doğal olarak da hem tabletime hem de telefonuma internet uygulamasını yüklemem gerekti. Google Play Market aracılığıyla Akbank Direkt Uygulamasını indirmek istediğimde konumumdan, fotoğraflarıma, kameramdan, mikrofonuma, cihaz çağrı bilgilerimden diğer uygulama bilgilerime, kısacası özel olan neyim varsa hepsine erişmek istediğini fark ettim. Indirmedim tabi.
Bu izinleri vermek demek, uygulamayı yönetenlerin sevgilimi günde kaç kez aradığımdan, işe saat kaçta gittiğime kadar bilmesi demek. Hatta bu verilere erişen birinin kameram ya da mikrofonum aracılığı ile beni dinlemesi, izlemesi bile olası.
Bunun üzerine twitter aracılığıyla kendilerine bu izinleri neden istediklerini sordum ve klasik bir paradoksal yanıtla karşılaştım: “işte”
Akbank’ın dahiane yanıtı…
Daha sonraki sorularıma da yanıt vermediler.
Hangi Banka ne istiyor?
Aşağıda herkes için tüm banka uygulamalarının isteklerinden oluşan bir galeri oluşturdum. İzin arsızı bankalar olarak Akbank, Garanti Bankası ve Kuveyt Türk öne çıkıyor. Bu bankalar telefonunuzdaki tüm kritik bilgilere erişmeyi talep ediyorlar.
Kolaylık olsun diye bankaların istedikleri izinleri aşağıdaki tabloya yerleştirdim. Dileyenler aşağıdaki ekran görüntülerinden teyit edebilirler.
Yukarıdaki tabloda hangi bankanın uygulamasının hangi izni talep ettiği yazıyor. Sıralamayı talep edilen izin sayısına göre gerçekleştirdim.
Tek bakışta tüm banka uygulamaları ve talep ettiği izinler (alfabetik)
Peki bu izinler ne anlama geliyor?
Bu izinlerden en kritik olanlarının ne anlama geldiğini Google’ın kendisinden öğrendim. Kritik olanlar küçük yorumlarla buraya aktarıyorum. Hepsine bakmak sitemiyorsanız yazının sonuna devam edin…
Bu izni isteyen uygulama aşağıdakileri yapabilir:
- Hassas günlük verilerini okuma
- Sistemin dahili durumunu alma
- Web yer işaretlerinizi ve geçmişinizi okuma
- Çalışan uygulamalara ilişkin bilgileri alma
Yani hangi uygulamayı ne kadar kullandığınız, sık ziyaret ettiğiniz web siteleri vb. bu uygulama tarafından okunabilir. “Bunun ne sakıncası var” diye sorabilirsiniz ama aslında dünya görüşünüzden, yaşam tarzınıza kadar pek çok şeyi öğrenebilmekeri açısından epey sakıncası var: İsteyen bankalar kilo takibi için bir program kullanıyorsanız, namaz saatlerini öğrenmek için bir ezan programına başvuruyorsanız veya “seks hikayeleri” okuyorsanız bunu öğrenebilirler.
Bu izne sahip olan uygulama telefon defterinizin tamamına erişebilir.
Bu erişime sahip olan uygulama sahipleri kimin kimle tanışıklığı olduğuna dair bir haritayı kolaylıkla oluşturabilirler. Bu sizin ağ toplumunda hangi ağa bağlı olduğunuzun doğrudan bir göstergesidir. Eşinizin dostunuzun telefon numaralarının da uygulama sahibinin eline geçmesinden bahsetmiyorum bile. “İlla ki böyle yapıyorlar” demiyorum ama size bir şeyler pazarlamak için sizi arayan bazı şirketlerin numaralarınızı nereden aldığını merak ediyorsanız eğer, bu bir yanıt olabilir.
Google’a göre bu izne sahip olan bir uygulama, cihazınızın takvim bilgilerini kullanabilir. Buna aşağıdaki işlevler dahil olabilir:
- Takvim etkinliklerini ve gizli bilgileri okuma
- Takvim etkinlikleri ekleme veya varolanları değiştirme ve cihaz sahibinin bilgisi olmadan davetlilere e-posta gönderme
Aile üyelerinizin doğum günlerinden evlilik yıldönümünüze kadar pek çok kişisel ajanda bilginiz şirketlerin ellerinde. Geçmiş olsun.
Bir uygulama, cihazınızın kısa mesaj (SMS) ve/veya multimedya mesajlaşma servisini (MMS) kullanabilir. Bu gruba kısa mesaj, resimli mesaj veya görüntülü mesajları kullanabilme özelliği dahil olabilir.
- Kısa mesaj (SMS) alma
- Kısa mesajlarınızı okuma (SMS veya MMS)
- Kısa mesaj alma (MMS; resim veya görüntülü mesaj gibi)
- Kısa mesajlarınızı düzenleme (SMS veya MMS)
- SMS mesajı gönderme (ücret ödemeniz gerekebilir)
- Kısa mesaj alma (WAP)
Eşinizin sizi aldattığını düşünüyorsanız bir dedektiflik şirketine değil, bankaların uygulamasını yöneten yazılım şirketine gidin. SMS’lerini okuyabiliyorlar nasılsa.
Bir uygulama, telefonunuzu ve/veya telefonunuzun çağrı geçmişini kullanabilir. Telefon erişimine aşağıdaki işlevler dahil olabilir:
- Telefon numaralarına doğrudan çağrı yapma (ücret ödemeniz gerekebilir)
- Çağrı kaydına yazma (örneğin: çağrı geçmişi)
- Çağrı kaydını okuma
- Giden çağrıları yeniden yönlendirme
- Telefonun durumunu değiştirme
- Müdahaleniz olmadan çağrı yapma
“Çağrı kaydını okuma” cümlesi sizi ürkütmedi mi? Telefon defterimizin tamamına erişen uygulamalar aynı zamanda kimleri ne sıklıkta aradığımızı, kimlerle uzun uzun konuştuğumuzu da biliyorlar… Haydi bakalım!
Bir uygulama cihazınızın kamerasını ve/veya mikrofonunu kullanabilir. Kamera ve mikrofon erişimine aşağıdaki işlevler dahil olabilir:
- Fotoğraf çekme ve video kaydetme
- Ses kaydetme
- Video kaydetme
Gözlerinizin ne kadar büyüdüğünü görmek isterim… Evet; pek çok uygulama bu izni siz dilediğinizde sesli mesaj gönderin ya da bir arkadaşınıza fotoğrafınızı gönderebilin diye istiyor (Whatsapp ya da Instagram gibi…). Peki banka neden istiyor? Akbank’a sorduğum soruda bunun yanıtını alamamıştım. Arkadaşım Kerem Kaynar’ın espirili yorumu şöyle:
Sonuç ve Tüm Okurlara Çağrı
Çağımızda pazarlama faaliyetlerinin başarısı büyük ölçüde “bilgi” gücüne bağlı. Eskiden kadın, erkek, evli, bekâr, zengin, ortahalli, yoksul gibi basit demografik bilgilere dayanarak yapılan pazar bölümlendirmeleri, teknolojinin de etkisiyle artık “kilo verenler”, “Interstellar’ı izleyenler”, “Felsefeye ilgi duyanlar”, “Yakında nişanlanacaklar” şeklinde yapılabiliyor. Bu başarı da mahremiyetimize uzanan yollardaki bu deliklerden kaynaklanıyor.
(Daha geçenlerde Tuğsan Topçuoğlu, Yalansavar’da bu konulara değindiği şöyle güzel bir yazı kaleme almıştı. Merce Gözüküçük’ün Açık Bilim’de 2 yıl evvel daha genel bir şekilde ele aldığı yazıya ise şuradan ulaşabilirsiniz.)
“Big Data” dediğimiz büyük verilerin anonim olarak toplanması ve bu bilgilerin insanlığın gelişimine katkı sağlamak için kullanılması bir derece kabul edilebilir olsa da anonimliğin ne kadar gerçekleştiği sorusu önemli bir soru. Bu yüzden tüm okurlara çağrım şudur:
Madem bu konu bankalar vesilesiyle açıldı, bankalarınıza sosyal medya başta olmak üzere kullandığınız öncelikli iletişim kanalları aracılığıyla aşağıdaki soruları sorun:
- Bu bilgileri niçin talep ediyorlar? Tam olarak yapmak istedikleri nedir?
- Program teknik olarak hangi nedenlerden ötürü bu izinlere ihtiyaç duyuyor?
- Banka kendi uygulamasını kendi mi kontrol ediyor? Yoksa dışarıdan hizmet mi alıyor?
- Kendi kontrol ediyorsa personelinin, dışarıdan hizmet alıyorsa hizmet aldığı şirketin ve şirket personelinin kişisel verilerimizi kötü amaçlarla kullanmasına nasıl engel oluyor?
- Ve niçin bize bunu yapıyorlar?
Diğer bankaları bilmiyorum ama Garanti Bankası IOS platformundaki uygulamasında sadece konum bilgisine erişim izni istiyor. Farklı platformlarda farklı izinler istenmiş olması ilginç.
iki sezon onceki person of interest dizisinde suikaste ugrayacak kisi boyle bir veri agi olusturan yazilimin sahibiydi diye animsiyorum. dizide isin sonunun nereye varacagina dair ongorulemeyen seyler soyleniyordu. onceki alisveris aliskanliklarindan ne zaman hamile kalacagin, bu durumda kapini calan firsatcilik hizmetleri, ruhsal durumuna mudahale vs. genis pazar olanaklari…
Android’de App Ops gibi uygulamalarla bu izinler uygulama kurulduktan sonra degistirilebiliyor. Denemekte fayda var…
Bu durumu cok once farkedip guvenli bir browser (firefox, midori) kullanarak mobil erisim yapiyorum. Surada iyi bir karsilastirma var. http://en.wikipedia.org/wiki/Comparison_of_web_browsers
Bir bilgi güvenliği uzmanı, bloğunda bu güvenlik izinlerinin nasıl geçilebileceğini anlatmış.
http://www.oguzhantopgul.com/2014/05/androidde-izin-almadan-izin-kullanma.html
O kadar bilgili değilim ama bilmeyenlerin gereksiz yere şüpheye düşmesine gerek yok. İşbankası kullanıyorum. Açıklayayım.
Kamerayı ATM’den kartsız para çekmek için QR kod okutmak için istiyor.
Telefonu Müşteri hizmetlerini aramak için kullanıyor(hazır kayıtlı).
Lokasyon bilgisini en yakın atm’yi göstermek için kullanıyor.
SMS’si gelen şifreyi otomatik kopyalayıp yapıştırmak için kullanıyor.
Diğerlerini kullanmadım ama mantıklı bir açıklaması vardır.
https://eksisozluk.com/madem-iyisin
Uzun zamandır rahatsız olduğum ve yazmak istediğim bir konuydu. Siz yazmışsınız güzel olmuş. Teşekkürler.
Turk akli deyip tum izinleri toptan almislardir. Lazim olur, seneye de giyer vb. gibi bahaneler.
işcep uygulaması root haklarını da istiyor root lu cihazınızda http://abbaselmas.tumblr.com/post/109222951663/tam-olarak-ne-icin-istiyor-acaba-superuser-root
bu sorulardan bir kısmına çok kolay cevap verebilirler, örnek;
konum – en yakın ATM yi bulmak ve size göstermek için
sms – gelen mobil onay kodunu otomatikleştirmek için
kamera – qrcode okutabilmeniz için
mikrofon – sesli metin girişi için
telefon – çağrı merkezimizi uygulamanızdan arayabilmeniz için
vs vs
Cok guzel yazmissin tebrik ediyorum.
Hem banka musteri hizmetleri, hem bankalarin operasyon kisimlarinda calisan arkadaslarim hem de tanidigim developer arkadaslara karsi verdigim bir kavgadir bu benim.
DenizBank burda iyi gibi gosterilmis ama onlarin da FastPay uygulamasi fena bu konuda.
Bazi onemli nuans farklari:
– Bazilari telefon izni alirken arama kaydi izni de istiyor. Neden bilinmez.
– SMS alma izni diye bir sey var ve SMS leri okuma izninden farkli. SMS leri komple okuma iznini arada yutturanlar var.
– Rehbere ulasmak icin telefonun rehber uygulamasini izinsiz kullanabilirler. Onun yerine komple rehbere ulasmayi tercih ediyorlar.
– Telefon arama izni almalarina gerek yok. Telefon uygulamasini cagri merkezinin numarasiyla izinsiz acabilirler.
Asil neden su:
Genelde Turkiye’de developer’lar DGOP programliyorlar. http://ibrahimgunduz.net/daya-gec-yonelimli-programlama-dgop/
Bankalarin calistigi Monitise gibi sirketlerin zaten umrunda degil. Onlar guzel guzel paralarini aliyor
Bankalar da memnun bu isten. Islerine geliyor.
bende uygulamayı update etmek istediğimde gördüm. garantiye bende sordum uygulamayı kullanmak istiyorsanız onay vermeniz gerekiyor cevabını aldım. update etmedim etmicem ;)
facebook uygulamasına da aynı izinleri verdiğinizden haberiniz var mı? onu güvenilir yapan nedir?
Merhaba. Onun güvenilir olduğunu tam olarak nerede ifade etmişim, gösterirseniz sorunuzu da yanıtlayabilirim.
Google, Apple ve Microsoft sahip oldukları mobil işletim sistemleri ile sizi her türlü adım adım takip ederken bazı uygulamaların izinlerinin ne önemi var.
Android cihazınızda telefon dilini ingilizce yapın ve Google know’ u aktifleştirin, uygulama bir süre sonra size siz uygulamaya her hangi bir bilgi girmeden size ev iş yeri adreslerinizi otomatikman gösterecek.
Bunun gibi birçok olay varken bankalar kullandırdıkları özellikler için bu izinleri istiyor. Bir çok defa yanımda banka kartı olmadan qr kod ile para çektim, gittiğim yabancı bir şehirde en yakın bankamatiği uygulama üzerinden buldum, hele sms şifresini otomatik yazmayan bankacılık uygulamasına acayip gıcığım. Onlar bunları ihtiyaç çözümü için kullanırken oyunun gerçek efendileri farklı işler peşinde. Büyük resme odaklanalım.
Kendiniz fayda sağladığınız için herhangi bir A nesnesini “daha kötü” bir B ile mukayese ederek iyiye çıkarma davranışı tipik bir davranıştır. Faydanın hakkını vermek için bunu hepimiz zaman zaman yaparız. Bence şu an yaptığınız da bu.
Ayrıca Google, Apple ve Microsoft’a müsaade ettik diye, bankalarınkinina önemsiz olduğu düşüncesi de tam olarak şuna karşılık geliyor: http://en.wikipedia.org/wiki/Slippery_slope
Öte yandan büyük resme bakmamız gerektiği fikrinize sonuna kadar katılıyorum. Neticede çok daha fazla kişisel bilgi daha büyük şirketlerin eline geçiyor. Ne var ki bu teknolojinin yaratıcıları olan şirketler yine bu şirketler ve bu teknolojilerin yaratım süreçlerinde yine bu bilgileri kullanıyorlar. Bakın ben de aslında sizin düştüğünüz hataya düşüyorum burada. Google’dan fayda gördüğüm için onun yaptığını mazur görme eğilimine giriyorum.
Bu yazıda tam olarak derdimi anlatabildiğimi düşünmüyorum. Google’ın, Apple’ın ne yapıyor olduğundan bağımsız olarak, bankanın benden niçin bu bilgileri istediğini merak ediyorum. Yazıda da görmüş olduğunuz gibi, sormama rağmen yanıt vermiyorlar. Üstelik Google beni rahatsız etmezken, bankalar beni telefonla, SMS ile sürekli taciz ediyorlar, konum merkezli reklam gönderiyorlar. Ayrıca Google’ın benim datamı anonim olarak topluyor olması çok muhtemel, elinin altında potansiyel altı milyar insan var. Banka beni ismimle, cismimle biliyor, bana buna göre reklam hazırlıyor.
Bakın, bunu da bir kenara bırakayım ve haksız olduğumu düşünelim. Ben bankanın kişisel bilgilerimin personelinin eline geçmeyeceğinden nasıl emin olduğumu merak ediyorum. Aslında derdim bu kadar basit.
Şimdi izinlerin ne işe yaradığını anlatayım.
en yakın bankamatik gösterme konumunuza ihtiyacı var.
sms onayında otomatik sms okuma sms okuma iznine ihtiyacı var. bilmem ne temsilcisini ara butonu arama bilgilerini ister. ve benzeri özellikler benzeri izinler ister. ios da bişi istemiyor ama bu özellikler varsa bilinki açık daha büyük izin istemeden işini görüyordur :) önemli olan uygulamanın ne istediği değil bankanın bunların gizliliğini ne kadar koruduğudur. Bu yüzden veri madenciliği kanunla düzenlenmeli bu verilerin bankalarda depolanmasına izin verilmemeli ya da bu verilerin gizliliğini ihlal edenlere ciddi para cezaları getirilmelidir.
işim gereği x gsm operatorunde kullanıcı sorunlarını incelerken arama kayıtlarına bakmam gerekiyor. fakat bunun için o kadar cok prosedur var ki. kazara abonenin numarasını yanlıs yazsam başka abone cıksa şikayeti olmayan o kadar çok hesap soruluyor ki…
Sorun android de değil bizim kanunlarımızda. teknoloji son 10 yılda çağ atladı ama kanunlar 2000 öncesinden kalma….
Burada bir başka sorun da Android’de tüm izinlerin tek seferde toplu olarak alınması ve seçmeye imkan vermemesi. iOS’da hepsi ayrı istenip, dilediğini reddetme imkanın olması çok daha kullanışlı ve güvenli sanki.
Çok güzel bir konuya değinerek açıklama yapmışsınız ve hep gördüğümüz gibi “kraldan çok kralcı” arkadaşlarımızda burada. Bilgi araklama ve reklam ağında kullanmaya bir örnekte TUVTURK kurumunda. Servis formunda imzaladığınız kullanım koşulları sekmesi reklam izinleri sekmesiyle yoğurulmuş. “Ben hizmet istiyorum ama rahatsız edilmek istemiyorum. Bu seçenekler neden ayrı değil.” dediğinizde aldığınız cevap sinirli bir ifadeyle “Size bilgi sağlıyoruz.” Aracı olan herkesin yaşamış bulunduğu bu konuda da insanların düşüncesi, “Bize hizmet veriyorlar.” :) Ellerinize sağlık ve dikkat edeceğiz.