Ved din lommelygte-app, hvor du er? Undersøgelse af Android-tilladelser

Dørklokken ringede. Det er min nabo. "Hej hvad sker der?" Spurgte jeg nervøst. Det er kun en uge siden min artikel om bombetruslerne på hans barnebarn kollegium.

"Hvorfor har en lommelygte brug for GPS?"

"I tilfælde af at det gik tabt?" Han værdsatte ikke min humor.

"Jeg vil indlæse denne lommelygte-app på min telefon, " forklarede min nabo. "Men hvorfor i * # $ behøver det at vide, hvor jeg er?"

"Jeg ved ikke, " var det bedste, jeg havde. Jeg bad om at se telefonen; det var, hvad der var på skærmen.

Jeg mistede, hvorfor en lommelygte-app har brug for adgang til GPS-placeringsdata. Det plus at skulle sige, ”jeg ved ikke”, er ikke behageligt for mig. Jeg lovede lydløst at finde ud af det.

Den første ting, jeg bemærkede, var det utrolige antal downloads - 10 millioner. Jeg spekulerede på, hvor mange af de 10 millioner mennesker, der var nysgerrige over, hvorfor appen bad om GPS-info.

Jeg smsede William Francis, min go-to-fyr til noget Android, hvor han spurgte, om han vidste, hvorfor en lommelygte-app ville bede om tilladelse til at bruge GPS-oplysninger. Hans svar, "Der er ingen gode grunde."

Jeg var bange for det - tid til at blive seriøs.

Side-sporede

Jeg kunne hverken finde en god eller dårlig grund - sandsynligvis hvorfor jeg blev sidesporet af dette papir, "Mod skalerbar evaluering af mobile applikationer gennem crowd-sourcing og automatisering". Fandens skræmmende titel. Heldigvis var jeg bekendt med to af forfatterne, Dr. Jason Hong og Dr. Janne Lindqvist.

Jeg blev glædeligt overrasket, når jeg begyndte at læse papiret. Min nabo er ikke alene. Der er nok mennesker, der er forvirrede over Android-tilladelser til at garantere opmærksomheden fra et helt forskerteam:

"Da mobile apps har adgang til både mobile enhedssensorer og også brugernes personlige data, er det kritisk for brugerne at vide, hvordan mobilapps bruger følsomme oplysninger og ressourcer på deres enheder."

Forskningen

Jeg var skuffet over at lære teamets løsning, App Scanner, ikke er færdig. Mens jeg vil kigge på den skybaserede service, skal jeg først nogle spørgsmål til professorerne.

Kassner : Dr. Lindqvist, hvad kan brugerne gøre for bedre at forstå, hvad hver tilladelsesanmodning beder om? Lindqvist : I dag kan du ikke gøre meget. De fleste applikationer fortæller ikke, hvad de bruger oplysningerne til. Jeg foreslår muligvis, at du prøver at afgøre, om applikationen virkelig har brug for hver af tilladelserne. Kontroller også, om der er tilsvarende applikationer, der ikke kræver den tilladelse, du er bekymret for.

En tommelfingerregel her er, at alt koster. Hvis du ikke betaler for en app, vil den sandsynligvis finansiere sig selv gennem reklame. Derefter kan dine personligt identificerende oplysninger blive afsløret for tredjepart såvel som app-udvikleren.

Kassner : Dr. Hong, denne Technology Review-artikel citerede dig som at sige:

"Den grundlæggende idé her er: Hvordan hjælper du folk, der ikke er eksperter inden for netværks- og computersikkerhed, til at forstå, hvad en app laver?"

Hvordan ville du hjælpe?

Hong : Android Market (Play Store) har over 400.000 apps. Apple App Store har over 550.000 apps. Problemet er dog, hvordan ved vi, hvad en app vil gøre, når den indlæses på en mobiltelefon? Hvordan kan vi også kommunikere, hvad en app gør for brugerne?

Til dette projekt foreslår vi to større aktiviteter. Den første er at opbygge et system, der kan semi-automatisere analysen af, hvad en Android-app laver med hensyn til ens privatliv. For eksempel:

  • Hvor ofte deler denne app ens placering?
  • Hvilke netværk opretter den forbindelse til?
  • Uploader det en del af ens kontaktliste til en server?

Den anden store aktivitet er at designe en brugergrænseflade, der gør det nemt for folk at forstå, hvad appen vil gøre. I øjeblikket viser apps et manifest, der beskriver på et meget groft niveau, hvad en app vil gøre (for eksempel kontrollerer placering, bruger netværk osv.). Vi ønsker at designe og evaluere flere forskellige grænseflader til at kommunikere til mennesker, hvad en app gør, baseret på vores semi-automatiserede analyse.

App-scanner

Sliden nedenfor indkapsler de aktiviteter, Dr. Hong henviste til, og - du gætte det - App Scanner. Squiddy er det semi-automatiske undersystem fra App Scanner Dr. Hong, der også er nævnt ovenfor. William og jeg arbejder med professor Landon Cox, medudvikler af TaintDroid, en nøgleingrediens i Squiddy. Vi håber på, at det stykke af puslespillet kan regnes ud om et par uger.

Den del af App Scanner, jeg gerne vil diskutere, består af:

  • CrowdScanner : Ansvarlig for at fange folks opfattelse af, hvordan en applikation opfører sig.
  • Privacy Evaluator : Kvantificerer de personlige oplysninger, en app kan udlede ved hjælp af resultaterne fra Squiddys evaluering. Privacy Evaluator vil præsentere sine resultater gennem scenarier, der er mere forståelige for brugerne.
  • Privacy Summarizer : Tilbyder slutbrugers privatlivsoversigt genereret ved hjælp af output fra både CrowdScanner og Privacy Evaluator.

Følgende dias er et eksempel på en oversigt over fortrolighed. Det skyldes bare, at det handler om lommelygte-appen, som min nabo spurgte om.

Bemærk brugerprocentdelene? De er resultatet af et temmelig unikt aspekt af App Scanner - crowd-sourcing.

Crowd-sourcing

Et problem, som forskerne står overfor, er det store antal apps. Hvis det ikke er nok, er forskerne også klar over, at der kræves menneskelig interaktion for at skabe resuméerne. Efter lidt hovedridser kom forskerne med en løsning på begge udfordringer:

"I betragtning af omfanget af deltagere, der er tilgængelige på crowd-sourcing-platforme som Amazon Mechanical Turk og brugen af ​​automatiserede teknikker, foreslår vi, at App Scanner er en skalerbar tilgang til analyse af mobile applikationer og giver stor dækning af appmarkeder.

Endvidere antager vi, at AppScanner kan stole på applikationsadfærdsevalueringer, der vil være tæt på ekspertanalyse af appens adfærd, ved at stole på skarne fra skarer.

Hvis jeg ikke tager fejl, er det at stole på "skarne fra skarer" et stort skift i akademien. På samme tid er det sandsynligvis den eneste måde at evaluere million plus apps derude.

Endelige tanker

Jeg bifalder forskerteamet for at have forsøgt at reducere kompleksiteten omkring Android-tilladelser. Deres ønske om at fokusere opmærksomheden på uventet brug af smartphone-ressourcer vil holde alle ærlige. Forhåbentlig har de App Scanner op og fungerer snart.

Jeg vil også gerne takke Dr. Lindqvist og Dr. Hong for at hjælpe med denne artikel.

© Copyright 2020 | mobilegn.com