Özet

Mobil cihazların gündelik yaşantımızın birer uzantısı haline gelmesi, devasa bir veri endüstrisini de beraberinde doğurdu. Çoğu zaman işlevsellik kılıfı altında sunulan uygulamalar, aslında “gereksiz veri toplama” (data overcollection) adı verilen sistematik bir mahremiyet sömürüsü yürütüyor. Bu çalışma, Android ve iOS platformlarındaki izin mimarilerini inceliyor. Bunu salt teknik bir bakışla değil, KVKK ve GDPR normlarının çizdiği etik sınırlarla yapıyor. Yanıltıcı kullanıcı arayüzleri, rıza yorgunluğu ve arka planda sessizce çalışan SDK’lerin yarattığı tahribat, güncel vaka analizleriyle masaya yatırılmaktadır. İlerleyen bölümlerde yer alan dört aşamalı pratik uygulama senaryosu ise, okuyucuya teorik bilginin ötesinde, cihazındaki görünmez veri trafiğini kendi elleriyle deşifre etme yeteneği kazandırmayı hedeflemektedir.

Anahtar Kelimeler: Gereksiz Veri Toplama (Data Overcollection), Veri Minimizasyonu, Bilişim Etiği, Karanlık Tasarımlar (Dark Patterns), Mobil Mahremiyet, KVKK ve GDPR

İÇİNDEKİLER

1. Giriş

2. Kavramsal Çerçeve: Hukuk ve Mimari Kesişimi

3.Gereksiz Veri Toplama (Data Overcollection) Problemi

4.Uygulamalar Neden Veriye Aç?

5. Kullanıcı Bilinci ve Karanlık Tasarımlar

6. Vaka Analizleri: Etik İhlalin Sınırları

7. Çözüm Önerileri: Geliştirici ve Kullanıcı Rehberi

7.1 İzin Yönetimi

7.2 Veri Minimizasyonu

7.3 Gizlilik Politikaları

7.4 Android Güvenlik Yapısı

7.5 iOS Güvenlik Yapısı

7.6 Kullanıcı Farkındalığı

8. Uygulama ve Deneyimleme Bölümü

8.1 UYGULAMA 1: Statik Kod Analizi ve SDK İllüzyonu

8.2 UYGULAMA 2: İşletim Sistemi Ajanları (Log Analizi)

8.3 UYGULAMA 3: Kademeli İşlev Kaybı ve Karanlık Tasarım (Dark Pattern) Sınaması

8.4 UYGULAMA 4: Veri Etiketleri İllüzyonu

9. Sonuç

10. Kaynakça

11. Özgünlük ve Yapay Zeka Raporu

 

1. Giriş

Masadaki telefonunuza bir bakın. Ekranı kapalı. Muhtemelen şu an hiçbir şey yapmadığını, tamamen size ait özel bir alanda uslu uslu durduğunu düşünüyorsunuz. Peki gerçekten öyle mi? Neden karanlıkta yolunuzu bulmak için indirdiğiniz basit bir el feneri uygulaması, ısrarla mikrofonunuza ve GPS koordinatlarınıza erişmek ister? Gerçekten bir el fenerinin sizin anlık konumunuza ihtiyacı olabilir mi?

İşte tam da bu noktada, yazılım geliştirmenin sadece temiz bir mimari kurmaktan ibaret olmadığını fark ediyoruz. Aslında yazdığımız bir satır Kotlin veya Swift kodunun doğrudan bir insanın mahremiyetine, psikolojisine ve anayasal haklarına dokunduğu gerçeğiyle yüzleşmeliyiz. Kısacası, günümüzün en stratejik ve kârlı kaynaklarından biri olarak görülmektedir. Uygulamaların ihtiyaç duyduklarından çok daha fazlasını talep etmeleri artık bir istisna değil, endüstri standardı halini aldı. Kullanıcı o “İzin Ver” butonuna basarken aslında hayatının hangi parçasını devrettiğini biliyor mu? Bu metin; kodların, yasaların ve insan ahlakının kesiştiği o dar ve karanlık koridora ışık tutacak.

2. Kavramsal Çerçeve: Hukuk ve Mimari Kesişimi

Mahremiyet ihlallerini teknik bir şablona oturtmadan önce, oyunun kurallarını belirleyen ana akım normlara bakmak zorundayız. Bu bağlamda, karşımıza çıkan en büyük kavram “Gereksiz Veri Toplama” (Data Overcollection). Bir uygulamanın, vadettiği temel işlevi yerine getirebilmek için ihtiyaç duyduğundan çok daha fazla hassas veriyi talep etmesi ve depolamasıdır. 

Bu pratik, Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) Madde 5’te ve Kişisel Verilerin Korunması Kanunu (KVKK) Madde 4’te çok net bir şekilde çerçevelenen “Veri Minimizasyonu” ve “Ölçülülük” ilkeleriyle taban tabana zıttır (GDPR, 2016; KVKK, 2016). Yasa der ki: Sadece amacınla ilgili olanı topla, işin bitince sil. Ancak mobil ekosistemin mimarisi bu basit kuralı aşmak için tasarlanmış sayısız arka kapıyla (backdoor) doludur. İnsanlar evleri, otonomileri ve dijital kimlikleri üzerinde kontrol sahibi olmak isterler. Kısacası, bu kontrolün yazılımsal hilelerle ellerinden alınması, derin bir etik erozyona işaret eder.

Gdpr Europe
Şekil 1. GDPR

3. Gereksiz Veri Toplama (Data Overcollection) Problemi

Uygulama marketlerindeki “ücretsiz” araçların anatomisine indiğimizde korkutucu bir tabloyla karşılaşırız. QR kod okuyucuların rehberinize, hesap makinelerinin ağ bağlantı durumunuza sızması tesadüf değildir. Çünkü geliştiriciler çoğu zaman bu verileri doğrudan kendi sunucularına çekmek için kod yazmazlar. Asıl sorun, projeye dahil edilen üçüncü parti SDK’lerdir (Yazılım Geliştirme Kitleri). Çökme analizleri (Crashlytics), reklam ağları (AdMob) veya davranışsal analitik araçları, projeye eklendikleri saniye itibarıyla uygulamanın içine bir veri vakumu yerleştirir. Dahası, işin kötüsü, çoğu yazılımcı “ileride lazım olur” tembelliğiyle hareket ediyor. Böylece kullanıcının en mahrem verilerini devasa şirketlerin sunucularına farkında olmadan peşkeş çekiyor (Reardon vd., 2019).

4. Uygulamalar Neden Veriye Aç?

Hiçbir ticari şirket milyonlarca dolarlık sunucu maliyetine hayır işlemek için katlanmaz. Eğer ki cebinizden para çıkmıyorsa, masadaki ürün sizsiniz. Hedefli reklamcılık ve veri brokerliği (data brokering) devasa bir ekonomidir.

Toplanan anlık konumunuz, yürüme hızınız, cihazınızdaki diğer yüklü uygulamalar paketlenir ve reklam verenlere satılır. Mikro-hedefleme denilen sistem böyle çalışır. Bir navigasyon uygulaması rotanızı satarak, sabahları düzenli olarak önünden geçtiğiniz kahve zincirinin size anında bildirim atmasını sağlar (Binns vd., 2018). Ortada kusursuz işleyen bir sömürü çarkı var.

5. Kullanıcı Bilinci ve Karanlık Tasarımlar

Peki biz bu duruma nasıl bu kadar sessiz kalıyoruz? Neden her şeye onay veriyoruz? Literatür bunu “Rıza Yorgunluğu” (Consent Fatigue) ile açıklar. Sürekli önümüze çıkan onay pencereleri beynimizi uyuşturur.

Daha da vahimi, tasarımcıların bilinçli olarak kullandığı “Karanlık Tasarımlar”dır (Dark Patterns). Bilişsel zaaflarımızı sömüren bu arayüzler, iptal butonunu görünmez bir gri tonuna boyarken, “Kabul Et” butonunu devasa ve yeşil yapar (Brignull, 2010). Kullanıcı o an sadece işini halledip uygulamanın ana ekranına geçmek ister. Asimetrik bir güç ilişkisi kurulmuştur: “Ya verilerini bana teslim edersin, ya da bu uygulamayı kullanamazsın.” Bu dayatma, rızanın özgür iradeyle verilmediğinin en büyük hukuki kanıtıdır.

6. Vaka Analizleri: Etik İhlalin Sınırları

Vaka 1: Cambridge Analytica Skandalı

Bu meseleyi sıradan bir haber gibi okumayı bırakalım. Aleksandr Kogan’ın yazdığı “This Is Your Digital Life” kişilik testi uygulaması, Facebook’un Graph API mimarisindeki korkunç bir açığı kullandı. Uygulamayı kuran 270 bin kişi, kendi rızaları dışında arkadaşlarının da verilerine (toplamda 87 milyon kullanıcının verisine) erişim izni vermişti (Wikipedia, 2023). Bu veriler, kişilerin psikolojik ve siyasi profillerini çıkarmak için kullanıldı ve rıza dışı toplanan veri ile demokratik bir seçimin manipüle edilmesine kadar varan etik bir felakete yol açtı (PMC, 2023). Öyle ki, toplam 87 milyon insanın psikolojik profili çıkarıldı (Isaak & Hanna, 2018). Bu veri, demokratik seçimleri manipüle etmek için kullanıldı. Başka bir deyişle, mesele sadece izinsiz veri toplamak değil; toplanan verinin insanlığın otonomisine karşı bir silaha dönüşmesidir. Bu skandal, kullanıcıların gizlilik algısını değiştirerek, kurumların verilerimizi nasıl sömürdüğünü gözler önüne serdi (Ur Rehman vd., 2020).

Vaka 2: Ücretsiz Uygulamalardaki SDK Cehennemi

Popüler bir fener uygulaması neden mikrofon izni alır? Çünkü içine gömülü reklam SDK’si, ortam dinlemesi yaparak televizyonda hangi diziyi veya reklamı izlediğinizi akustik parmak izi (audio fingerprinting) yöntemiyle tespit eder. Siz karanlıkta anahtar deliğini ararken, telefonunuz arkada reklam şirketlerine televizyon alışkanlıklarınızı fısıldamaktadır.

7. Çözüm Önerileri: Geliştirici ve Kullanıcı Rehberi

Sorunu teşhis ettik, peki ya tedavi? Mobil ekosistemi salt ticari kaygılardan arındırıp, etik ve hukuki normlara entegre edebilecek teknik yaklaşımlar nelerdir? Bu bölüm, teorik öğütlerin ötesine geçerek bir geliştiricinin ve kullanıcının başvuru rehberi niteliğindedir.

7.1 İzin Yönetimi

Modern işletim sistemleri, çalışma zamanı (runtime) izin modellerine geçmiş olsalar da, özellikle bu izinlerin “nasıl” ve “ne zaman” istendiği kritik bir eşiktir.

  • Teknik Açıklama:
    Aşağıda Android platformunda (Kotlin) bir konum izninin nasıl talep edildiğini görmekteyiz:
  • Kotlin

if (ContextCompat.checkSelfPermission(this, Manifest.permission.ACCESS_FINE_LOCATION)

    != PackageManager.PERMISSION_GRANTED) {

    ActivityCompat.requestPermissions(this,

    arrayOf(Manifest.permission.ACCESS_FINE_LOCATION), 1)

}

  • Bunun iOS (Swift) mimarisindeki karşılığı ise çok daha kesin çizgilerle ayrılmıştır:
  • Swift

CLLocationManager().requestWhenInUseAuthorization()

  • Etik Analiz: Bu izinler neden gerekir? Bir harita veya navigasyon uygulamasıysanız, meşru bir sebep vardır. Ancak kötüye kullanım senaryosunda, uygulama bu izni kullanarak arka planda sürekli konum verisi çeker ve kullanıcıyı fişler. Etik ihlal, uygulamanın vadettiği işlev ile istediği yetki arasındaki orantısızlık noktasında başlar.
  • Gerçek Örnek: El feneri uygulamasının uygulamayı açar açmaz mikrofon ve konum izni istemesi.
  • Kullanıcı Önerileri: Sistem tarafından sunulan diyalog pencerelerinde refleksif onay mekanizmasını terk edin. Bir iznin neden istendiğini sorgulayın. Eğer mantıklı bir sebep bulamıyorsanız, “Sadece uygulamayı kullanırken” seçeneğini seçin veya doğrudan reddedin.
  • Geliştirici Önerileri: “In-context” (bağlam içi) izin isteyin. Kullanıcı haritada konumunu bulmak için butona basmadan o izni ekrana getirmeyin.
  • Dikkat Edilmesi Gerekenler:
    • İzinleri toplu halde, uygulama ilk açıldığında istemeyin.
    • Reddedilen izinler yüzünden uygulamanın çalışmasını tamamen bloke etmeyin.
    • İzni neden istediğinizi kullanıcıya yalın bir dille açıklayın.

7.2 Veri Minimizasyonu

Gereksiz veri toplamanın en kesin çözümü, veriyi hiç toplamamaktır.

  • Teknik Açıklama: Backend mimarilerinde veritabanı tasarlanırken sadece “iş sürecinin yürümesi için elzem olan” kolonlar oluşturulmalıdır. Apple’ın App Store kurallarına göre, uygulamalar yalnızca temel işlevleriyle doğrudan alakalı verilere erişim talep etmelidir (Apple Inc., 2026).
  • Etik Analiz: Veri minimizasyonu sadece depolama maliyetlerini düşüren bir mimari tercih değil, GDPR ihlallerinden kaçınmak için uyulması gereken ahlaki ve yasal bir zorunluluktur (Usercentrics, 2026).
  • Gerçek Örnek: Doğum günü kampanyası yapmayacak bir e-ticaret uygulamasının kayıt esnasında zorunlu olarak doğum tarihi istemesi.
  • Kullanıcı Önerileri: Zorunlu olmayan alanları asla doldurmayın. Sahte bilgi verme hakkınızı saklı tutun. Yani platformun temel işleviyle ilgisi olmayan zorunlu veri alanları karşısında “veri karartma” (data obfuscation) yöntemini uygulayın. Sistemi sentetik (sahte) tarihler veya ikincil e-posta adresleriyle besleyerek profil oluşturma algoritmalarını yanıltın. 
  • Geliştirici Önerileri: “Cihaz İçi Makine Öğrenimi” (On-device ML) ve uç bilişim (Edge Computing) mimarilerine entegre olun. Yani veriyi uçtan uca şifreleyin (E2EE) ve cihaz içinde (on-device processing) işleyerek sunucuya hiç göndermeme mimarisini benimseyin. (bulut sunucularına aktarmayın.)
  • Dikkat Edilmesi Gerekenler:
    • Anonimleştirme ve takma adlandırma tekniklerini kullanın.
    • Veritabanlarında mutlak surette otomatik Veri İmha Politikaları (TTL – Time to Live) çalıştırın. Operasyonel ömrünü tamamlayan veriler düzenli olarak silinmelidir. 

7.3 Gizlilik Politikaları

Şeffaflık, güvenin temel taşıdır. Ancak günümüzde gizlilik politikaları anlaşılmak için değil, hukuki sorumluluktan kaçmak için yazılmaktadır.

  • Teknik Açıklama: Şeffaf bir gizlilik politikası, uygulamanın hangi veriyi kime, neden ve ne süreyle gönderdiğini maddeler halinde belirten sözleşmelerdir.
  • Etik Analiz: Kullanıcıları karanlık tasarımlarla (Dark Patterns) manipüle etmek etik dışıdır. Tasarım hileleriyle kullanıcının niyet etmediği eylemleri (örn. abonelik, veri paylaşımı) onaylamasını sağlamak manipülasyondur (Usercentrics, 2026).
  • Gerçek Örnek: İptal butonunun gri ve okunmaz yapılıp, kabul butonunun fosforlu yeşil yapıldığı “Yanlış Yönlendirme” (Misdirection) arayüzleri.
  • Kullanıcı Önerileri: Varsayılan olarak işaretli gelen (pre-ticked) onay kutucuklarına her zaman şüpheyle yaklaşın ve mutlaka kaldırın (TermsFeed, 2026). Uzun sözleşmelerde en azından “üçüncü taraflarla veri paylaşımı” maddelerini tespit ederek ilgili onamları geri çekin (opt-out). 
  • Geliştirici Önerileri: Katmanlı aydınlatma metinleri (Layered Privacy Policies) oluşturun. Karmaşık hukuki metinleri en alta konumlandırırken, ekranın üst kısmında ikonlarla desteklenmiş kısa, net ve anlaşılır özetler sunun. Çerez ve veri kullanım izinlerinde “Tümünü Reddet” butonu ile “Tümünü Kabul Et” butonunu aynı renk ve boyutta tasarlayın.
  • Dikkat Edilmesi Gerekenler:
    • Hukuki terimler yerine, 8. sınıf düzeyindeki bir öğrencinin anlayabileceği sadelikte metinler yazın.
    • Kullanıcı onayını geri çekme (opt-out) işlemini en az onay verme süreci kadar kolay yapın.

7.4 Android Güvenlik Yapısı

Android ekosistemi, açık kaynaklı doğası gereği tarihsel olarak izin istismarlarına çok daha açık olmuştur. Ancak mimari giderek katılaşmaktadır.

  • Teknik Açıklama: Her Android uygulaması kendi yalıtılmış alanında (Sandbox) ayrı bir Linux kullanıcı ID’si (UID) ile çalışır. Başka bir uygulamanın alanına geçiş yapamaz. Bunun yerine veri akışı AndroidManifest.xml dosyasında deklare edilen ve runtime’da onaylanan kurallara bağlıdır.
  • Etik Analiz: Geliştiricilerin Manifest dosyasına ihtiyaçları olmayan onlarca izni eklemesi, Google Play’in denetim mekanizmalarını atlatmaya yönelik etik dışı bir harekettir.
  • Gerçek Örnek: Kamera uygulamasının mikrofon iznini alıp, arkada sürekli ortam dinlemesi yapması.
  • Kullanıcı Önerileri: Android’in “Kullanılmayan uygulamaların izinlerini otomatik kaldır” modülünü aktif tutun. “Gizlilik Panosu”nu (Privacy Dashboard) periyodik olarak inceleyerek, cihazın bekleme (standby) durumunda hangi uygulamaların sensörlere eriştiğini denetleyin. 
  • Geliştirici Önerileri: Scoped Storage mimarisine tam uyum sağlayın. Cihazdaki tüm dosyalara erişmek yerine sadece uygulamanıza ayrılan klasörle yetinin.
  • Dikkat Edilmesi Gerekenler:
    • Hedef API seviyesini daima en güncel sürümde tutun.
    • Arka plan servisleri (Background Services) kurgularken kullanıcıya görünür bildirimler (Foreground Notification) sunun.

7.5 iOS Güvenlik Yapısı

Apple, “Privacy is a fundamental human right” mottosuyla pazarlama yapsa da, bu kapalı kutunun içinde de geliştiricilerin uyması gereken katı teknik kurallar mevcuttur.

  • Teknik Açıklama: iOS mimarisinde, herhangi bir hassas veriye erişmek için uygulamanın Info.plist dosyasına neden bu veriye ihtiyaç duyduğunuzu belirten bir açıklama dizgesi (örn: NSLocationWhenInUseUsageDescription) girmeniz zorunludur. Dahası, App Tracking Transparency (ATT) framework’ü ile uygulamaların diğer şirketlere ait uygulamalar ve web sitelerindeki hareketlerinizi izlemesi için açık onay alması şarttır (Usercentrics, 2026).
  • Etik Analiz: ATT’nin reddedilmesi durumunda uygulamanın temel özelliklerini kapatarak kullanıcıyı cezalandırmak hem Apple kurallarına hem de etik değerlere aykırıdır.
  • Gerçek Örnek: Bir oyunun, size hediye altın vermek için hedefli reklam iznini (IDFA) açmaya zorlaması.
  • Kullanıcı Önerileri: Sistemin Ayarlar > Gizlilik ve Güvenlik > Takip Etme menüsünde yer alan “Uygulamaların Takip İzni İstemesine İzin Ver” seçeneğini tamamen devre dışı bırakın. Böylece sistem, uygulamaların çapraz takip taleplerini arka planda otomatik olarak reddedecektir. 
  • Geliştirici Önerileri: Apple’ın App Privacy Report özelliklerine uygun, şeffaf ağ istekleri yapılandırın.
  • Dikkat Edilmesi Gerekenler:
    • Info.plist açıklamalarınızda dürüst olun; “Uygulama deneyimini iyileştirmek için” gibi yuvarlak laflardan kaçının.
    • Uygulama içi tarayıcılar (WKWebView) üzerinden gizli çerez enjeksiyonu yapmayın.

7.6 Kullanıcı Farkındalığı

Sistemi kodla ne kadar korursanız koruyun, en zayıf halka her zaman insandır.

  • Teknik Açıklama: Dijital okuryazarlığın temel düzeyde yetersiz olması, oltalama (phishing) ve sahte izin ekranlarının tuzağına düşmeyi kolaylaştırır.
  • Etik Analiz: Teknoloji firmalarının kullanıcı cehaletinden kâr elde etmesi, modern çağın dijital sömürgeciliğidir. Kullanıcı savunmasız gruplar içerisinde yer alıyorsa, mahremiyet ihlalinin yıkıcılığı çok daha derindir (Taylor & Francis, 2023).
  • Gerçek Örnek: Yaşlı bir kullanıcının, “Cihazınızda virüs var, temizlemek için rehber izni verin” diyen sahte bir temizlik uygulamasını onaylaması.
  • Kullanıcı Önerileri: Öncelikle izin verirken durun ve düşünün. Şüpheci olun. Akıllı telefonunuzda “En Az Yetki Prensibini” (Principle of Least Privilege) uygulayın. Belirli bir süre (örneğin son 3 ay) kullanılmayan tüm uygulamaları sistemden arındırın. Dijital minimalizm, veri yüzeyini küçültmenin en etkili stratejisidir. 
  • Geliştirici Önerileri: Uygulama içinde küçük rehber ekranlar tasarlayarak kullanıcının veri hakları konusunda eğitilmesini destekleyin.
  • Dikkat Edilmesi Gerekenler:
    • Kullanıcıların, haklarını (KVKK m.11 ve GDPR) kolayca kullanabilmesi için arayüzde bir “Verilerimi Sil” butonu barındırın.

8. Uygulama ve Deneyimleme Bölümü

Şimdi okuduklarımızı somutlaştırma vakti. Telefonunuzdaki kapalı kapıların ardında neler döndüğünü bizzat analiz edeceğiz. Bunun için, sınıf ortamında, herhangi bir ağır yazılım kurmaya gerek kalmadan, doğrudan cihazlarınızın iç dinamiklerini ve web tabanlı analiz araçlarını kullanarak sistemleri deşifre ediyoruz.

8.1 UYGULAMA 1: Statik Kod Analizi ve SDK İllüzyonu

Amaç: İndirdiğiniz tek bir uygulamanın içine gömülü üçüncü parti izleyicileri (tracker) saniyeler içinde deşifre etmek.

Teknik Arka Plan: APK dosyalarını indirip decompile etmek zaman alır. Bunun yerine, açık kaynak kodlu “Exodus Privacy” platformunu kullanarak, uygulamanın Manifest dosyasındaki izinlerin ve bilinen reklam SDK imzalarının statik kod analizini web üzerinden gerçekleştireceğiz.

Adım Adım Uygulama:

  1. Bilgisayarınızdan veya telefonunuzdan exodus-privacy.eu.org adresine giriş yapın.
  2. Arama çubuğuna mağazalarda popüler olan “ücretsiz” bir uygulama adı yazın. (Örn: Bir el feneri, PDF okuyucu veya kronometre)
  3. Çıkan raporda “Trackers” (İzleyiciler) ve “Permissions” (İzinler) sekmelerini inceleyin.
  • Ekran Görüntüsü Talebi: İlgili uygulamanın raporunda yer alan, Google CrashLytics veya Facebook Ads gibi üçüncü taraf izleyici SDK’lerinin listelendiği analiz sayfasının net bir görüntüsü.
  • Geliştirici Perspektifi: Projeye build.gradle veya Podfile üzerinden eklediğimiz tek satırlık bir bağımlılığın (dependency), arka planda cihazın hangi verilerini dışarı sızdırdığını görmek, güvenli mimari tasarımı açısından kritik bir farkındalıktır.
  • Analiz Sonucu: Kullanıcılar cihazlarına sadece bir uygulama kurduklarını sanırken, aslında 10 farklı veri brokerının izleme ajanını kurduklarını anlık olarak göreceklerdir.

8.2 UYGULAMA 2: İşletim Sistemi Ajanları (Log Analizi)

Amaç: Arka planda sessizce çalışan sensör erişimlerini (mikrofon, kamera, konum) işletim sisteminin kendi kayıtlarından yakalamak.

Teknik Arka Plan: Modern iOS ve Android (12+) sürümleri, uygulamaların API çağrılarını çekirdek seviyesinde (kernel-level) loglar ve bunu kullanıcıya bir zaman çizelgesi olarak sunar.

Adım Adım Uygulama:

  1. iOS için: Ayarlar > Gizlilik ve Güvenlik > Uygulama Gizlilik Raporu’nu açın. Android için: Ayarlar > Güvenlik ve Gizlilik > Gizlilik Panosu’na gidin.
  2. “Konum” veya “Mikrofon” sekmelerine girerek son 24 saatin zaman çizelgesini (timeline) inceleyin.
  3. Telefonu hiç kullanmadığınız, ekranın kapalı olduğu gece saatlerinde hangi uygulamanın sensörleri tetiklediğini bulun.
  • Ekran Görüntüsü Talebi: Bir sosyal medya veya oyun uygulamasının, son 24 saat içinde konumunuza arka planda kaç kez eriştiğini gösteren detaylı zaman çizelgesi ekranı.
  • Geliştirici Perspektifi: Uyandırma kilitleri (wakelocks) ve arka plan servislerinin (background services) fütursuzca kullanımı, batarya tüketiminin ötesinde açık bir mahremiyet ihlalidir.
  • Analiz Sonucu: Cihaz kapalıyken ve uygulama arka plandayken dahi veri akışının durmadığı, profil oluşturma sürecinin sürekli devam ettiği somut olarak kanıtlanacaktır.

8.3 UYGULAMA 3: Kademeli İşlev Kaybı ve Karanlık Tasarım (Dark Pattern) Sınaması

Amaç: Uygulamaların “Kademeli İşlev Kaybı” (Graceful Degradation) prensibini ihlal ederek kullanıcıyı nasıl manipüle ettiğini test etmek.

Teknik Arka Plan: Etik ve hukuki (KVKK/GDPR) kurallara göre, bir özellik için izin reddedilirse sadece o modül devre dışı kalmalıdır. Uygulamanın temel işlevleri çalışmaya devam etmelidir.

Adım Adım Uygulama:

  1. Cihazınızda yüklü olan (veya yeni indireceğiniz) bir hava durumu veya alışveriş uygulamasının ayarlarına gidin.
  2. Uygulamanın “Konum” ve “Kamera” gibi izinlerini tamamen reddedin (Kapatın).
  3. Uygulamayı yeniden başlatın ve ana işlevleri kullanmaya çalışın.
  4. Sistemin size manuel şehir/adres girme opsiyonu sunup sunmadığına bakın.
  • Ekran Görüntüsü Talebi: İzni reddettiğiniz için uygulamanın tüm arayüzü kilitleyip sizi tam ekran bir uyarı penceresiyle (Dialog Box) zorla “Ayarlara Git” butonuna hapsettiği manipülatif ekran.
  • Geliştirici Perspektifi: Kullanıcıyı izne zorlayan (forced consent) bu tip bloklayıcı mimariler, hukuken geçersiz rıza sayılır. Mimari, izin reddedildiğinde alternatif bir akış sunacak şekilde tasarlanmalıdır.
  • Analiz Sonucu: Etik olmayan uygulamaların bir “B planı” sunmadığı, “Ya konumunu verirsin ya da kullanamazsın” dayatmasıyla kullanıcıyı bir döngüye (consent loop) hapsettiği gözlemlenecektir.

8.4 UYGULAMA 4: Veri Etiketleri İllüzyonu

Amaç: Uygulama mağazalarında beyan edilen gizlilik politikası (Nutrition Labels) ile toplanan verilerin mantıksal uyumsuzluğunu yakalamak.

Teknik Arka Plan: Apple App Store ve Google Play Store’daki “Veri Güvenliği” bölümleri tamamen geliştiricinin kendi beyanına (self-declaration) dayanır ve Veri Minimizasyonu ilkesinin en çok ihlal edildiği yerdir.

Adım Adım Uygulama:

  1. Cihazınızdan App Store veya Google Play Store’u açın.
  2. Basit bir mobil oyun (Örn: Satranç, kelime bulmaca vb.) aratıp sayfasına girin.
  3. Sayfanın alt kısımlarına inerek “Veri Güvenliği” (Data Safety) veya “Uygulama Gizliliği” sekmesini genişletin.
  4. Toplanan veriler listesinde uygulamanın temel amacıyla hiçbir mantıksal bağı olmayan verileri (Örn: Finansal Bilgiler, Arama Geçmişi ve Kesin Konum) arayın.
  • Ekran Görüntüsü Talebi: Uygulamanın temel işleviyle (örneğin bir satranç oyunu) hiçbir alakası olmadığı halde mağaza sayfasındaki listede açıkça beyan edilen “Arama Geçmişi” veya “Kesin Konum” gibi şüpheli veri türlerinin ekran görüntüsü.
  • Geliştirici Perspektifi: Mağazaya uygulama yüklerken (deployment), veri beyan formlarının nasıl “Uygulama İşlevselliğini İyileştirme” kılıfına uydurularak doldurulduğunu görmek.
  • Analiz Sonucu: Basit araçların bile kullanıcıların alışveriş geçmişinden tarayıcı geçmişine kadar uzanan geniş bir veri setini topladığı ve “gereksiz veri toplama” kavramının mağaza standartlarında nasıl normalleştiği sorgulanacaktır.

9. Sonuç

Telefonlarımızdaki parlak piksellerin ardında karanlık ve doymak bilmez bir veri ekonomisi yatıyor. Bu çalışmada açıkça gördük ki; uygulamaların bitmek bilmeyen izin talepleri masum birer mühendislik hatası değil, kasıtlı kurgulanmış ticari birer tuzaktır. İster Android’in Sandbox mimarisini kurcalayın, ister iOS’un ATT politikalarını inceleyin, en nihayetinde teknik korumalar tek başına yeterli olmuyor.

Etik pusulasını kaybetmiş bir yazılım sektörü, kullanıcının bilişsel zaaflarını karanlık tasarımlarla sömürmeye devam edecektir. Bu sebeple geliştiriciler olarak yazdığımız her kodun hukuki bir karşılığı ve ahlaki bir ağırlığı olduğunu idrak etmeliyiz. Kullanıcılar olarak ise omuz silkip “Kabul Et” butonuna basmanın, kendi dijital otonomimize ihanet etmek anlamına geldiğini artık kavramak zorundayız.  Sonuç olarak, mahremiyet satılık bir eşya değil, temel bir insan hakkıdır.

10. Kaynakça

Android Developers. (2024). Permissions on Android: Best Practices. Google. https://developer.android.com/guide/topics/permissions/overview 

Apple Inc. (2024). App Store Review Guidelines: Privacy. Apple Developer. https://developer.apple.com/app-store/review/guidelines/#privacy 

Binns, R., Lyngs, U., Van Kleek, M., Zhao, J., Libert, T., & Shadbolt, N. (2018). Third Party Tracking in the Mobile Ecosystem. Proceedings of the 10th ACM Conference on Web Science, 23-31. https://doi.org/10.1145/3201064.3201089 

Brignull, H. (2010). Dark Patterns: Deception vs. Honesty in UI Design. A List Apart. https://alistapart.com/article/dark-patterns-deception-vs-honesty-in-ui-design/ 

General Data Protection Regulation (GDPR). (2016). Regulation (EU) 2016/679 of the European Parliament and of the Council. Official Journal of the European Union. https://gdpr-info.eu/ 

Isaak, J., & Hanna, M. J. (2018). User Data Privacy: Facebook, Cambridge Analytica, and Privacy Protection. IEEE Computer, 51(8), 56-59. https://doi.org/10.1109/MC.2018.3191268 

Kişisel Verilerin Korunması Kanunu (KVKK). (2016). 6698 Sayılı Kanun. T.C. Resmî Gazete (Sayı: 29677). https://www.mevzuat.gov.tr/MevzuatMetin/1.5.6698.pdf 

Kollnig, N., Binns, R., Van Kleek, M., & Shadbolt, N. (2021). Are iPhones Really Better for Privacy? Comparative Study of iOS and Android Apps. Proceedings on Privacy Enhancing Technologies, 2022(2), 6-24. https://doi.org/10.2478/popets-2022-0033 

Reardon, J., Feal, A., Wijesekera, P., On, A. E. B., Vallina-Rodriguez, N., & Egelman, S. (2019). 50 Ways to Leak Your Data: An Exploration of Apps’ Circumvention of the Android Permissions System. 28th USENIX Security Symposium, 603-620. https://www.usenix.org/conference/usenixsecurity19/presentation/reardon

PMC. (2023). To scrape or not to scrape, this is dilemma. The post-API scenario and implications on digital research. Erişim adresi: https://pmc.ncbi.nlm.nih.gov/articles/PMC10060875/

Wikipedia. (2023). Cambridge Analytica. Erişim adresi: https://en.wikipedia.org/wiki/Cambridge_Analytica

Ur Rehman, vd. (2020). “This is capitalism. It is not illegal”: Users’ attitudes toward institutional privacy following the Cambridge Analytica scandal. Taylor & Francis. Erişim adresi: https://www.tandfonline.com/doi/full/10.1080/01972243.2020.1870596

Usercentrics. (2026a). App Privacy Policy Essentials, Examples & Common Mistakes. Erişim adresi: https://usercentrics.com/guides/privacy-policy/app-privacy-policy/

Usercentrics. (2026b). Avoid Dark Patterns: Privacy Compliance Best Practices. Erişim adresi: https://usercentrics.com/knowledge-hub/dark-patterns-and-how-they-affect-consent/

Taylor & Francis. (2023). Expert perspectives on GDPR compliance in the context of smart homes and vulnerable persons. Erişim adresi: https://www.tandfonline.com/doi/full/10.1080/13600834.2023.2231326

Özgünlük ve Yapay Zeka Raporu

Bu çalışma [31.05.2026] tarihinde iki farklı testten geçirilmiştir:

İntihal Kontrolü: plagiarismdetector.net üzerinden yapılan analizde metnin %94,85  oranında özgün (unique) olduğu tespit edilmiştir.

Yapay Zeka Kontrolü: aidetectorwriter.com raporuna göre AI üretim oranı %5.40 çıkmıştır. Bu değer, izin verilen %20 sınırının altındadır.

Öne Çıkan Görsel (Kapak): “Schloss mit Kette vor Smartphone”. Eser Sahibi: Christoph Scholz. Kaynak: Flickr ( Schloss mit Kette vor Smartphone | Christoph Scholz | Flickr ). Lisans: CC BY-SA 2.0

GDPR Veri Koruma ve Minimizasyon İlkeleri. Kaynak: Flickr (GDPR & ePrivacy Regulations | This image / photo is part of … | Flickr). Lisans: CC BY 2.0

Creative Commons Lisansı
Bu eser Ali Tayyip Kandemir tarafından üretilmiş olup Creative Commons Atıf-AynıLisanslaPaylaş 4.0 Uluslararası Lisansı ile lisanslanmıştır.