Ιδρυματικό Αποθετήριο
Πολυτεχνείο Κρήτης
EN  |  EL

Αναζήτηση

Πλοήγηση

Ο Χώρος μου

Δυναμική και μεγάλης διάρκειας έρευνα του data safety section σε Android

Arkalakis Ioannis

Απλή Εγγραφή


URIhttp://purl.tuc.gr/dl/dias/4CA2022F-6357-4358-81DE-1998F20A80C6-
Αναγνωριστικόhttps://doi.org/10.26233/heallink.tuc.98151-
Γλώσσαen-
Μέγεθος1.3 megabytesen
Μέγεθος60 pagesen
ΤίτλοςAbandon all hope ye who enter here: A dynamic, longitudinal investigation of Android’s data safety sectionen
ΤίτλοςΔυναμική και μεγάλης διάρκειας έρευνα του data safety section σε Androidel
ΔημιουργόςArkalakis Ioannisen
ΔημιουργόςΑρκαλακης Ιωαννηςel
Συντελεστής [Επιβλέπων Καθηγητής]Ioannidis Sotiriosen
Συντελεστής [Επιβλέπων Καθηγητής]Ιωαννιδης Σωτηριοςel
Συντελεστής [Μέλος Εξεταστικής Επιτροπής]Dollas Apostolosen
Συντελεστής [Μέλος Εξεταστικής Επιτροπής]Δολλας Αποστολοςel
Συντελεστής [Μέλος Εξεταστικής Επιτροπής]Koutroulis Eftychiosen
Συντελεστής [Μέλος Εξεταστικής Επιτροπής]Κουτρουλης Ευτυχιοςel
ΕκδότηςΠολυτεχνείο Κρήτηςel
ΕκδότηςTechnical University of Creteen
Ακαδημαϊκή ΜονάδαTechnical University of Crete::School of Electrical and Computer Engineeringen
Ακαδημαϊκή ΜονάδαΠολυτεχνείο Κρήτης::Σχολή Ηλεκτρολόγων Μηχανικών και Μηχανικών Υπολογιστώνel
ΠερίληψηUsers’ growing concerns about online privacy have led to increased platform support for transparency and consent in the web and mobile ecosystems. To that end, Android recently mandated that developers must disclose what user data their applications collect and share, and that information is made available in Google Play’s Data Safety section. In this work, we provide the first large-scale, in-depth investigation on the veracity of the Data Safety section and its use in the Android application ecosystem. We build an automated analysis framework that dynamically exercises and analyzes applications so as to uncover discrepancies between the applications’ behaviour and the data practices that have been reported in their Data Safety section. Our study on almost 5K applications uncovers a pervasive trend of incomplete disclosure, as 81% misrepresent their data collection and sharing practices in the Data Safety section. At the same time, 79.4% of the applications with incomplete disclosures do not ask the user to provide consent for the data they collect and share, and 78.6% of those that ask for consent disregard the users’ choice. Moreover, while embedded third-party libraries are the most common offender, Data Safety discrepancies can be traced back to the application’s core code in 41% of the cases. Crucially, Google’s documentation contains various “loopholes” that facilitate incomplete disclosure of data practices. Overall, we find that in its current form, Android’s Data Safety section does not effectively achieve its goal of increasing transparency and allowing users to provide informed consent. We argue that Android’s Data Safety policies require considerable reform, and automated validation mechanisms like our framework are crucial for ensuring the correctness and completeness of applications’ Data Safety disclosures.en
ΠερίληψηΟι αυξανόμενες ανησυχίες σχετικά με το διαδικτυακό απόρρητο έχουν οδηγήσει σε αυξημένη υποστήριξη της πλατφόρμας για διαφάνεια και συναίνεση στον ιστό και στα οικοσυστήματα των κινητών. Για το σκοπό αυτό, το Android απαίτησε πρόσφατα από τους προγραμματιστές να αποκαλύπτουν ποια δεδομένα χρήστη συλλέγουν και κοινοποιούν οι εφαρμογές τους και ότι οι πληροφορίες αυτές να διατίθενται στην ενότητα Ασφάλεια δεδομένων του Google Play. Σε αυτήν την εργασία, παρέχουμε την πρώτη μεγάλης κλίμακας, σε βάθος έρευνα σχετικά με την αξιοπιστία της ενότητας Ασφάλεια δεδομένων και τη χρήση της στο οικοσύστημα εφαρμογών Android. Δημιουργούμε ένα αυτοματοποιημένο σύστημα ανάλυσης που ασκεί και αναλύει δυναμικά τις εφαρμογές, έτσι ώστε να αποκαλύπτονται αποκλίσεις μεταξύ της συμπεριφοράς των εφαρμογών και των πρακτικών δεδομένων που έχουν αναφερθεί στην ενότητα Ασφάλεια δεδομένων. Η μελέτη μας για σχεδόν 5K εφαρμογές φανερώνει μια διάχυτη τάση ελλιπούς αποκάλυψης, καθώς το 81% παραποιεί τις πρακτικές συλλογής και κοινής χρήσης δεδομένων στην ενότητα Ασφάλεια δεδομένων. Ταυτόχρονα, το 79,4% των εφαρμογών με ελλιπείς αποκαλύψεις δεν ζητούν από τον χρήστη να παράσχει τη συγκατάθεσή του για τα δεδομένα που συλλέγει και μοιράζεται και το 78,6% όσων ζητούν συναίνεση αγνοούν την επιλογή των χρηστών. Επιπλέον, ενώ οι ενσωματωμένες βιβλιοθήκες τρίτων είναι ο πιο συνηθισμένος παραβάτης, οι αποκλίσεις στην Ασφάλεια Δεδομένων μπορούν να εντοπιστούν στον βασικό κώδικα της εφαρμογής στο 41% των περιπτώσεων. Είναι σημαντικό ότι η τεκμηρίωση της Google περιέχει διάφορα "παραθυράκια" που διευκολύνουν την ελλιπή αποκάλυψη πρακτικών δεδομένων. Συνολικά, διαπιστώνουμε ότι στην τρέχουσα μορφή της, η ενότητα Ασφάλεια δεδομένων του Android δεν επιτυγχάνει αποτελεσματικά τον στόχο της να αυξήσει τη διαφάνεια και να επιτρέπει στους χρήστες να παρέχουν ενημερωμένη συναίνεση. Υποστηρίζουμε ότι οι πολιτικές ασφάλειας δεδομένων του Android απαιτούν σημαντική μεταρρύθμιση και ότι οι αυτοματοποιημένοι μηχανισμοί επικύρωσης, όπως το σύστημα μας, είναι ζωτικής σημασίας για τη διασφάλιση της ορθότητας και της πληρότητας των αποκαλύψεων, στην ενότητα Ασφάλεια δεδομένων, των εφαρμογών.el
ΤύποςΜεταπτυχιακή Διατριβήel
ΤύποςMaster Thesisen
Άδεια Χρήσηςhttp://creativecommons.org/licenses/by-nc-nd/4.0/en
Ημερομηνία2023-11-28-
Ημερομηνία Δημοσίευσης2023-
Θεματική ΚατηγορίαAndroiden
Θεματική ΚατηγορίαData safety sectionen
Βιβλιογραφική ΑναφοράIoannis Arkalakis, "Abandon all hope ye who enter here: A dynamic, longitudinal investigation of Android’s data safety section", Master Thesis, School of Electrical and Computer Engineering, Technical University of Crete, Chania, Greece, 2023en
Βιβλιογραφική ΑναφοράΙωάννης Αρκαλάκης, "Δυναμική και μεγάλης διάρκειας έρευνα του data safety section σε Android", Μεταπτυχιακή Διατριβή, Σχολή Ηλεκτρολόγων Μηχανικών και Μηχανικών Υπολογιστών, Πολυτεχνείο Κρήτης, Χανιά, Ελλάς, 2023el

Διαθέσιμα αρχεία

Υπηρεσίες

Στατιστικά