A host and cloud-based mechanism for preserving mobile users privacy

Abstract

Η ραγδαία τεχνολογική εξέλιξη που συμβαίνει στον τομέα των κινητών συσκευών έχει επιφέρει πολλά ζητήματα στον τομέα της ασφάλειας και της προστασίας της ιδιωτικότητας των χρηστών. Ολοένα και περισσότεροι χρήστες χρησιμοποιούν τις «έξυπνες» κινητές συσκευές για την κάλυψη των καθημερινών τους αναγκών. Η αποθήκευση ευαίσθητων προσωπικών δεδομένων, η διεκπεραίωση οικονομικών συναλλαγών, ακόμα και η κοινωνική δραστηριότητα των ανθρώπων βασίζονται πλέον στις κινητές συσκευές. Η χρήση κινητών συσκευών έχει γίνει αναπόσπαστο κομμάτι της ζωής των ανθρώπων, με αποτέλεσμα την προσέλκυση κακόβουλων προγραμματιστών, που σκοπό έχουν την εκμετάλλευση των προσωπικών δεδομένων των χρηστών και των δυνατοτήτων των κινητών συσκευών τους. Τα τελευταία χρόνια, οι αγορές εφαρμογών (application markets) έχουν κατακλιστεί από εφαρμογές που παραβιάζουν την ιδιωτικότητα των χρηστών, καθώς αποκτούν πρόσβαση σε ευαίσθητες πληροφορίες και κρίσιμες λειτουργίες της συσκευής, όπως το GPS κ.ά. Γίνεται λοιπόν κατανοητό πως υπάρχει η ανάγκη για τη δημιουργία ισχυρών μηχανισμών, που θα είναι ικανοί να περιορίσουν τις κακόβουλες δράσεις των εφαρμογών και θα δώσουν τη δύναμη στους χρήστες να προστατέψουν τις πληροφορίες τους και την προσωπική τους ζωή.Η παρούσα διπλωματική εργασία εκπονήθηκε με σκοπό τη δημιουργία ενός μηχανισμού, που θα δώσει τη δυνατότητα στους χρήστες να περιορίσουν τα περιστατικά που σχετίζονται με την καταπάτηση της ιδιωτικότητας τους. Η ανάπτυξη του εν λόγω μηχανισμού έγινε στην δημοφιλή πλατφόρμα του Android. Πιο συγκεκριμένα, ο αδιαφανής τρόπος λειτουργίας των εφαρμογών μας έδωσε το κίνητρο για τη δημιουργία ενός μηχανισμού, που σκοπό έχει να πληροφορεί τους χρήστες για τις ενέργειες που πραγματοποιούν οι εφαρμογές που έχουν εγκαταστήσει στη συσκευή τους και σχετίζονται με κρίσιμους για την ιδιωτικότητά τους πόρους. Για να το πετύχουμε αυτό, εκμεταλλευτήκαμε τις δυνατότητες ενός εργαλείου, που χρησιμοποιείται για την τροποποίηση του τρόπου εκτέλεσης των εφαρμογών, ώστε να ειδοποιούμαστε για την κλήση μεθόδων που προσπελάζουν κρίσιμους πόρους του συστήματος. Σκοπός του μηχανισμού είναι να πληροφορήσει το χρήστη για τη συμπεριφορά των εφαρμογών και να του δώσει τη δυνατότητα να απαγορεύσει ο ίδιος συγκεκριμένες λειτουργίες, που θεωρεί ότι παραβιάζουν την ιδιωτικότητα του. Επιπλέον, για τη καλύτερη αξιοποίηση αυτού του μηχανισμού και την αποτελεσματικότερη προστασία των χρηστών, δημιουργήθηκε μία συνεργατική υποδομή για την ανταλλαγή πληροφοριών, που σχετίζονται με τη συμπεριφορά των εφαρμογών. Κύριο συστατικό αυτής της υποδομής είναι ένας εξυπηρετητή , που εδρεύει στο υπολογιστικό σύννεφο (cloud) με σκοπό τη συλλογή και την επεξεργασία πληροφοριών, οι οποίες προέρχονται από όλες τις κινητές συσκευές που συμμετέχουν στην υποδομή. Με αυτόν τον τρόπο, οι χρήστες έχουν τη δυνατότητα να ενημερώνονται σε πραγματικό χρόνο για τη συμπεριφορά των εφαρμογών που εγκαθιστούν στις συσκευές τους, από δεδομένα χρήσης που προέρχονται από άλλους χρήστες της υποδομής. Επιπλέον, δημιουργήθηκε και ένα σύστημα βαθμολόγησης των εφαρμογών, όπου οι χρήστες μπορούν να βαθμολογούν τη συμπεριφορά της κάθε εφαρμογής, με γνώμονα τη προστασία της ιδιωτικότητας τους.Για την αξιολόγηση της αποτελεσματικότητας του μηχανισμού πραγματοποιήθηκαν μικρής κλίμακας δοκιμές. Συγκεντρώθηκαν στοιχεία χρήσης από 6 κινητές συσκευές, στις οποίες εγκαταστάθηκαν τόσο καλόβουλες όσο και κακόβουλες εφαρμογές, σε μία προσπάθεια να καταγραφούν συμπεριφορές που θα έδιναν μία πληρέστερη εικόνα για την αποτελεσματικότητα και την ορθή λειτουργία του μηχανισμού. Τα αποτελέσματα αποκάλυψαν ενδιαφέροντα στοιχεία για τη συμπεριφορά τόσο των καλόβουλων εφαρμογών όσο και των κακόβουλων, με το μηχανισμό να αναφέρει αρκετά στοιχεία που παραβιάζουν την ιδιωτικότητα των χρηστών. Όμως για την καλύτερη αξιολόγηση του μηχανισμού κρίνεται απαραίτητη η διεξαγωγή πειραμάτων μεγαλύτερης κλίμακας, στα οποία θα συμμετέχουν περισσότερες συσκευές, ώστε να αξιοποιηθεί το χαρακτηριστικό της συνεργατικής υποδομής.

The rapid technological progress in the field of mobile devices introduced many security issues and privacy threats. More and more users rely on smart mobile devices to meet their everyday needs. People use smartphones for storing sensitive personal data, carrying out financial transactions, even socializing with other people. The use of mobile devices has become an integral part of people’s life, resulting in attracting the attention of malicious programmers, who intend to exploit users’ personal information and the devices’ capabilities. In the latest years, applications markets have been flooded with malicious applications which threaten users’ privacy by manipulating sensitive information and accessing critical services, like GPS, etc. It is more than obvious that there is a need for introducing robust mechanisms, in order to eliminate malicious actions and offer users the opportunity to protect their data and their personal life. The goal of this thesis is to create a mechanism for preserving mobile users’ privacy. The mechanism was developed on Android mobile platform. The obscure methods of applications’ operating gave us the motivation to design a mechanism able to inform users about applications’ actions associated with critical system resources. In order to achieve this, we took advantage of a hacking and tweaking tool, which notifies us about system method invocations accessing critical resources. The mechanism is intended to inform users about applications’ behavior and give them the ability to restrict certain actions, which invade their privacy. Moreover, for better utilization of the mechanism and in order to protect users in a more effective way, we created a collaborative infrastructure for exchanging information related to applications’ behavior. This infrastructure relies on a cloud-based server designed to collect and process data deriving from mobile devices registered to our service. In this way, users can be informed about applications’ behavior as soon as they have them installed on their device. This information derives from usage data collected from other mobile devices through crowdsourcing. Finally, we created a rating system for the users to evaluate applications’ behavior on the basis of privacy protection. To evaluate the effectiveness of our mechanism we performed some small-scale experiments. We collected usage data both from normal and malicious applications using six mobile devices in an attempt to measure the effectiveness of our mechanism. The results revealed interesting facts about both normal and malicious applications as the mechanism reported several privacy violations. Though, in order to evaluate our mechanism in a more reliable way, larger scale experiments are required, which will involve more devices, in an effort to exploit the collaborative character of the infrastructure to the utmost.