Privacy enhancing on mobile devices: continuous authentication with biometrics and behavioral modalities

Abstract

Mobile phones are one of the most popular means of access to the internet. Users, via the telephone, connect to different services such as: Google, social networks, work accounts, banks accounts, etc. Those services, are oftentimes, left running on their device. This practice entails risks, such as, loss or/and the violation of their personal data. Also, the stealing of the device, after login, grants full access to sensitive data and applications. For all the above reasons, Continuous Authentication (CA) systems have been suggested in literature. CA systems represent a new generation of security mechanisms that continuously monitor user behavior and use this as basis to re-authenticate periodically throughout a login session. In the present thesis a literature review was carried out on topics including the following: Continuous Authentication, Privacy, Users Attitudes, Biometrics, Behavioral Modalities. In the literature review we present a collection of selected published sources relevant to the topic of the thesis, which are accompanied by annotation, critical analysis of contents and apposition in some cases of the main conclusions of each study. The purpose of the literature review is the critical analysis of the contents and the detection of possible gaps in the literature on the particular topic. In order to answer to the research questions that have been posed from these research areas we conducted two corresponding surveys with two original questionnaires in which we had a total of 304 participants from Greece and Cyprus. The purpose of these surveys has been to identify users’ attitudes with regard to the protection of their sensitive personal data, as well as users’ practices pertaining to certain behavioral modalities. In the first survey, we examine whether users adopt some basic practices to protect their sensitive personal data themselves, or there is a need to further strengthen their protection. For purposes of statistical analysis, our main variable is age because we wanted to evaluate the significance degree regarding users’ attitudes and practices among different age groups. Finally, we seek the factors that influence the attitude of users with respect to their practices for the protection of personal data through statistical hypotheses. In the second survey, we analyze the most salient patterns characterizing user practices regarding certain behavioral modalities including: the way of using various applications, power consumption, touch gestures and guest users’ habits. This can offer qualitative information, for the different behaviors / “characters” of users. What we want to see via our questionnaire is whether users do perform similar tasks at a certain time of the day. In addition, through this approach we want to examine under what basis the user’s profile can be created in order to be used in further research regarding user’s Continuous Authentication. In the third part of our research work we present an Experimental Procedure and the Behavioral Biometrics Data Collection Architecture for mobile devices. In the present experiment we recorded modalities of movement imprinting the user's walk patterns. Our methodology imprints the modalities of movement, by the accelerometer and gyroscope sensors, of 10 volunteers in total. The procedure was designed in such a way so as to collect data from every participant for three sessions. The sessions recorded three sequences of 10 minutes each while the participant: walked and hold the device on his hand, walked and had the device on his pocket, was running and had the device on his pocket. These sessions were repeated for two days and gives us a total of 60 minutes’ real use data of the smartphone for each user.

Τα κινητά τηλέφωνα αποτελούν ένα από τα δημοφιλέστερα μέσα πρόσβασης στο internet. Οι χρήστες, μέσω του τηλεφώνου, συνδέονται σε διαφορετικές υπηρεσίες όπως: Google, social networks, work accounts, banks accounts, κλπ. Αυτές οι υπηρεσίες, συχνά, αφήνονται να “τρέχουν” στη συσκευή τους. Αυτή η πρακτική συνεπάγεται κινδύνους, όπως, απώλεια ή/και παραβίαση των προσωπικών τους δεδομένων. Επίσης, η κλοπή της συσκευής, κατόπιν του login, παρέχει πλήρη πρόσβαση σε ευαίσθητα δεδομένα και εφαρμογές. Για όλους τους παραπάνω λόγους, έχουν προταθεί στη βιβλιογραφία τα συστήματα της Continuous Authentication (CA). Τα συστήματα της CA εκπροσωπούν μια νέα γενιά μηχανισμών ασφαλείας που καταγράφουν διαρκώς τη συμπεριφορά του χρήστη και την χρησιμοποιούν ως βάση για να κάνουν re-authentication περιοδικά κατά τη διάρκεια μιας login session.

Στην παρούσα εργασία διεξήχθη μια βιβλιογραφική ανασκόπηση σε θέματα που περιλαμβάνουν τα παρακάτω: Continuous Authentication, Privacy, Users Attitudes, Biometrics, Behavioral Modalities κ.α. Στη βιβλιογραφική ανασκόπηση παρουσιάζουμε μια συλλογή επιλεγμένων δημοσιεύσεων σχετικές με το θέμα της παρούσας εργασίας, οι οποίες συνοδεύονται από σχολιασμό, κριτική ανάλυση των περιεχομένων και παράθεση σε κάποιες περιπτώσεις των βασικών συμπερασμάτων κάθε μελέτης. Ο σκοπός της βιβλιογραφικής ανασκόπησης είναι η κριτική ανάλυση των περιεχομένων και ο εντοπισμός πιθανών κενών στη βιβλιογραφία του συγκεκριμένου θέματος.

Με σκοπό να απαντήσουμε στα ερευνητικά ερωτήματα, που τίθενται από αυτές τις περιοχές, διεξήγαμε δύο έρευνες με πρωτότυπα ερωτηματολόγια στα οποία είχαμε συνολικά 304 συμμετέχοντες από την Ελλάδα και την Κύπρο. Ο σκοπός αυτών των ερωτηματολογίων ήταν να ταυτοποιήσουμε τις στάσεις (attitudes) των χρηστών αναφορικά με την προστασία των ευαίσθητων προσωπικών δεδομένων τους, καθώς και τις πρακτικές των χρηστών που αφορούν σε συγκεκριμένα behavioral modalities.

Στο πρώτο ερωτηματολόγιο, εξετάσουμε αν οι χρήστες υιοθετούν κάποιες βασικές πρακτικές για να προστατεύσουν τα ευαίσθητα προσωπικά τους δεδομένα μόνοι τους ή αν υπάρχει ανάγκη για περαιτέρω ενδυνάμωση της προστασίας τους. Για λόγους στατιστικής ανάλυσης, η κύρια μεταβλητή μας είναι η ηλικία γιατί θέλαμε να αξιολογήσουμε τον βαθμό σημαντικότητας αναφορικά με τις συμπεριφορές των χρηστών και τις πρακτικές ανάμεσα σε διαφορετικές ηλικιακές ομάδες. Τέλος, αναζητούμε τους παράγοντες που επηρεάζουν τις συμπεριφορές των χρηστών αναφορικά με τις πρακτικές τους για την προστασία των προσωπικών δεδομένων μέσω στατιστικών υποθέσεων.

Στο δεύτερο ερωτηματολόγιο, αναλύουμε τα βασικότερα μοτίβα που χαρακτηρίζουν τις πρακτικές των χρηστών όσον αφορά συγκεκριμένα behavioral modalities συμπεριλαμβανομένου: του τρόπου χρήσης των διάφορων εφαρμογών, την κατανάλωση ενέργειας, τις χειρονομίες αφής και τις guest users συνήθειες. Αυτό που θέλουμε να δούμε μέσω του ερωτηματολογίου μας είναι αν οι χρήστες εκτελούν παρόμοιες εργασίες σε συγκεκριμένες ώρες της ημέρας. Επίσης, μέσω αυτής της προσέγγισης θέλουμε να εξετάσουμε κάτω από ποια βάση μπορεί να δημιουργηθεί ένα προφίλ χρήστη έτσι ώστε να χρησιμοποιηθεί σε περαιτέρω έρευνες σχετικές με Continuous Authentication.

Στο τρίτο μέρος της εργασίας παρουσιάζουμε μια Πειραματική Διαδικασία και μια Behavioral Biometrics Data Collection Architecture για φορητές συσκευές. Στο πείραμα καταγράψαμε modalities κίνησης αποτυπώνοντας τα μοτίβα περπατήματος του χρήστη(user's walk patterns). Η μεθοδολογία μας αποτυπώνει τα modalities κίνησης, μέσω των αισθητήρων του επιταχυνσιόμετρου (accelerometer) και του γυροσκοπίου (gyroscope), σε συνολικά 10 εθελοντές. Η διαδικασία σχεδιάστηκε με τέτοιο τρόπο ώστε να συλλεχθούν δεδομένα από κάθε συμμετέχοντα για τρεις συνεδρίες. Οι συνεδρίες κατέγραψαν τρεις ακολουθίες των 10 λεπτών η κάθε μία ενόσω ο συμμετέχοντας: περπατούσε και κρατούσε τη συσκευή στο χέρι του, περπατούσε και είχε τη συσκευή στην τσέπη του, έτρεχε και είχε τη συσκευή στην τσέπη του. Αυτές οι συνεδρίες επαναλήφθηκαν για δύο ημέρες και μας δίνουν συνολικά 60 λεπτά πραγματικής χρήσης του smartphone για κάθε χρήστη.