URI | http://purl.tuc.gr/dl/dias/4CA2022F-6357-4358-81DE-1998F20A80C6 | - |
Identifier | https://doi.org/10.26233/heallink.tuc.98151 | - |
Language | en | - |
Extent | 1.3 megabytes | en |
Extent | 60 pages | en |
Title | Abandon all hope ye who enter here: A dynamic, longitudinal investigation of Android’s data safety section | en |
Title | Δυναμική και μεγάλης διάρκειας έρευνα του data safety section σε Android | el |
Creator | Arkalakis Ioannis | en |
Creator | Αρκαλακης Ιωαννης | el |
Contributor [Thesis Supervisor] | Ioannidis Sotirios | en |
Contributor [Thesis Supervisor] | Ιωαννιδης Σωτηριος | el |
Contributor [Committee Member] | Dollas Apostolos | en |
Contributor [Committee Member] | Δολλας Αποστολος | el |
Contributor [Committee Member] | Koutroulis Eftychios | en |
Contributor [Committee Member] | Κουτρουλης Ευτυχιος | el |
Publisher | Πολυτεχνείο Κρήτης | el |
Publisher | Technical University of Crete | en |
Academic Unit | Technical University of Crete::School of Electrical and Computer Engineering | en |
Academic Unit | Πολυτεχνείο Κρήτης::Σχολή Ηλεκτρολόγων Μηχανικών και Μηχανικών Υπολογιστών | el |
Content Summary | Users’ growing concerns about online privacy have led to increased platform support for transparency and consent in the web and mobile ecosystems. To that end, Android recently mandated that developers must disclose what user data their applications collect and share, and that information is made available in Google Play’s Data Safety section. In this work, we provide the first large-scale, in-depth investigation on the veracity of the Data Safety section and its use in the Android application ecosystem. We build an automated analysis framework that dynamically exercises and analyzes applications so as to uncover discrepancies between the applications’ behaviour and the data practices that have been reported in their Data Safety section. Our study on almost 5K applications uncovers a pervasive trend of incomplete disclosure, as 81% misrepresent their data collection and sharing practices in the Data Safety section. At the same time, 79.4% of the applications with incomplete disclosures do not ask the user to provide consent for the data they collect and share, and 78.6% of those that ask for consent disregard the users’ choice. Moreover, while embedded third-party libraries are the most common offender, Data Safety discrepancies can be traced back to the application’s core code in 41% of the cases. Crucially, Google’s documentation contains various “loopholes” that facilitate incomplete disclosure of data practices. Overall, we find that in its current form, Android’s Data Safety section does not effectively achieve its goal of increasing transparency and allowing users to provide informed consent. We argue that Android’s Data Safety policies require considerable reform, and automated validation mechanisms like our framework are crucial for ensuring the correctness and completeness of applications’ Data Safety disclosures. | en |
Content Summary | Οι αυξανόμενες ανησυχίες σχετικά με το διαδικτυακό απόρρητο έχουν οδηγήσει σε αυξημένη υποστήριξη της πλατφόρμας για διαφάνεια και συναίνεση στον ιστό και στα οικοσυστήματα των κινητών. Για το σκοπό αυτό, το Android απαίτησε πρόσφατα από τους προγραμματιστές να αποκαλύπτουν ποια δεδομένα χρήστη συλλέγουν και κοινοποιούν οι εφαρμογές τους και ότι οι πληροφορίες αυτές να διατίθενται στην ενότητα Ασφάλεια δεδομένων του Google Play. Σε αυτήν την εργασία, παρέχουμε την πρώτη μεγάλης κλίμακας, σε βάθος έρευνα σχετικά με την αξιοπιστία της ενότητας Ασφάλεια δεδομένων και τη χρήση της στο οικοσύστημα εφαρμογών Android. Δημιουργούμε ένα αυτοματοποιημένο σύστημα ανάλυσης που ασκεί και αναλύει δυναμικά τις εφαρμογές, έτσι ώστε να αποκαλύπτονται αποκλίσεις μεταξύ της συμπεριφοράς των εφαρμογών και των πρακτικών δεδομένων που έχουν αναφερθεί στην ενότητα Ασφάλεια δεδομένων. Η μελέτη μας για σχεδόν 5K εφαρμογές φανερώνει μια διάχυτη τάση ελλιπούς αποκάλυψης, καθώς το 81% παραποιεί τις πρακτικές συλλογής και κοινής χρήσης δεδομένων στην ενότητα Ασφάλεια δεδομένων. Ταυτόχρονα, το 79,4% των εφαρμογών με ελλιπείς αποκαλύψεις δεν ζητούν από τον χρήστη να παράσχει τη συγκατάθεσή του για τα δεδομένα που συλλέγει και μοιράζεται και το 78,6% όσων ζητούν συναίνεση αγνοούν την επιλογή των χρηστών. Επιπλέον, ενώ οι ενσωματωμένες βιβλιοθήκες τρίτων είναι ο πιο συνηθισμένος παραβάτης, οι αποκλίσεις στην Ασφάλεια Δεδομένων μπορούν να εντοπιστούν στον βασικό κώδικα της εφαρμογής στο 41% των περιπτώσεων. Είναι σημαντικό ότι η τεκμηρίωση της Google περιέχει διάφορα "παραθυράκια" που διευκολύνουν την ελλιπή αποκάλυψη πρακτικών δεδομένων. Συνολικά, διαπιστώνουμε ότι στην τρέχουσα μορφή της, η ενότητα Ασφάλεια δεδομένων του Android δεν επιτυγχάνει αποτελεσματικά τον στόχο της να αυξήσει τη διαφάνεια και να επιτρέπει στους χρήστες να παρέχουν ενημερωμένη συναίνεση. Υποστηρίζουμε ότι οι πολιτικές ασφάλειας δεδομένων του Android απαιτούν σημαντική μεταρρύθμιση και ότι οι αυτοματοποιημένοι μηχανισμοί επικύρωσης, όπως το σύστημα μας, είναι ζωτικής σημασίας για τη διασφάλιση της ορθότητας και της πληρότητας των αποκαλύψεων, στην ενότητα Ασφάλεια δεδομένων, των εφαρμογών. | el |
Type of Item | Μεταπτυχιακή Διατριβή | el |
Type of Item | Master Thesis | en |
License | http://creativecommons.org/licenses/by-nc-nd/4.0/ | en |
Date of Item | 2023-11-28 | - |
Date of Publication | 2023 | - |
Subject | Android | en |
Subject | Data safety section | en |
Bibliographic Citation | Ioannis Arkalakis, "Abandon all hope ye who enter here: A dynamic, longitudinal investigation of Android’s data safety section", Master Thesis, School of Electrical and Computer Engineering, Technical University of Crete, Chania, Greece, 2023 | en |
Bibliographic Citation | Ιωάννης Αρκαλάκης, "Δυναμική και μεγάλης διάρκειας έρευνα του data safety section σε Android", Μεταπτυχιακή Διατριβή, Σχολή Ηλεκτρολόγων Μηχανικών και Μηχανικών Υπολογιστών, Πολυτεχνείο Κρήτης, Χανιά, Ελλάς, 2023 | el |