Institutional Repository [SANDBOX]
Technical University of Crete
EN  |  EL

Search

Browse

My Space

Abandon all hope ye who enter here: A dynamic, longitudinal investigation of Android’s data safety section

Arkalakis Ioannis

Simple record


URIhttp://purl.tuc.gr/dl/dias/4CA2022F-6357-4358-81DE-1998F20A80C6-
Identifierhttps://doi.org/10.26233/heallink.tuc.98151-
Languageen-
Extent1.3 megabytesen
Extent60 pagesen
TitleAbandon all hope ye who enter here: A dynamic, longitudinal investigation of Android’s data safety sectionen
TitleΔυναμική και μεγάλης διάρκειας έρευνα του data safety section σε Androidel
CreatorArkalakis Ioannisen
CreatorΑρκαλακης Ιωαννηςel
Contributor [Thesis Supervisor]Ioannidis Sotiriosen
Contributor [Thesis Supervisor]Ιωαννιδης Σωτηριοςel
Contributor [Committee Member]Dollas Apostolosen
Contributor [Committee Member]Δολλας Αποστολοςel
Contributor [Committee Member]Koutroulis Eftychiosen
Contributor [Committee Member]Κουτρουλης Ευτυχιοςel
PublisherΠολυτεχνείο Κρήτηςel
PublisherTechnical University of Creteen
Academic UnitTechnical University of Crete::School of Electrical and Computer Engineeringen
Academic UnitΠολυτεχνείο Κρήτης::Σχολή Ηλεκτρολόγων Μηχανικών και Μηχανικών Υπολογιστώνel
Content SummaryUsers’ growing concerns about online privacy have led to increased platform support for transparency and consent in the web and mobile ecosystems. To that end, Android recently mandated that developers must disclose what user data their applications collect and share, and that information is made available in Google Play’s Data Safety section. In this work, we provide the first large-scale, in-depth investigation on the veracity of the Data Safety section and its use in the Android application ecosystem. We build an automated analysis framework that dynamically exercises and analyzes applications so as to uncover discrepancies between the applications’ behaviour and the data practices that have been reported in their Data Safety section. Our study on almost 5K applications uncovers a pervasive trend of incomplete disclosure, as 81% misrepresent their data collection and sharing practices in the Data Safety section. At the same time, 79.4% of the applications with incomplete disclosures do not ask the user to provide consent for the data they collect and share, and 78.6% of those that ask for consent disregard the users’ choice. Moreover, while embedded third-party libraries are the most common offender, Data Safety discrepancies can be traced back to the application’s core code in 41% of the cases. Crucially, Google’s documentation contains various “loopholes” that facilitate incomplete disclosure of data practices. Overall, we find that in its current form, Android’s Data Safety section does not effectively achieve its goal of increasing transparency and allowing users to provide informed consent. We argue that Android’s Data Safety policies require considerable reform, and automated validation mechanisms like our framework are crucial for ensuring the correctness and completeness of applications’ Data Safety disclosures.en
Content SummaryΟι αυξανόμενες ανησυχίες σχετικά με το διαδικτυακό απόρρητο έχουν οδηγήσει σε αυξημένη υποστήριξη της πλατφόρμας για διαφάνεια και συναίνεση στον ιστό και στα οικοσυστήματα των κινητών. Για το σκοπό αυτό, το Android απαίτησε πρόσφατα από τους προγραμματιστές να αποκαλύπτουν ποια δεδομένα χρήστη συλλέγουν και κοινοποιούν οι εφαρμογές τους και ότι οι πληροφορίες αυτές να διατίθενται στην ενότητα Ασφάλεια δεδομένων του Google Play. Σε αυτήν την εργασία, παρέχουμε την πρώτη μεγάλης κλίμακας, σε βάθος έρευνα σχετικά με την αξιοπιστία της ενότητας Ασφάλεια δεδομένων και τη χρήση της στο οικοσύστημα εφαρμογών Android. Δημιουργούμε ένα αυτοματοποιημένο σύστημα ανάλυσης που ασκεί και αναλύει δυναμικά τις εφαρμογές, έτσι ώστε να αποκαλύπτονται αποκλίσεις μεταξύ της συμπεριφοράς των εφαρμογών και των πρακτικών δεδομένων που έχουν αναφερθεί στην ενότητα Ασφάλεια δεδομένων. Η μελέτη μας για σχεδόν 5K εφαρμογές φανερώνει μια διάχυτη τάση ελλιπούς αποκάλυψης, καθώς το 81% παραποιεί τις πρακτικές συλλογής και κοινής χρήσης δεδομένων στην ενότητα Ασφάλεια δεδομένων. Ταυτόχρονα, το 79,4% των εφαρμογών με ελλιπείς αποκαλύψεις δεν ζητούν από τον χρήστη να παράσχει τη συγκατάθεσή του για τα δεδομένα που συλλέγει και μοιράζεται και το 78,6% όσων ζητούν συναίνεση αγνοούν την επιλογή των χρηστών. Επιπλέον, ενώ οι ενσωματωμένες βιβλιοθήκες τρίτων είναι ο πιο συνηθισμένος παραβάτης, οι αποκλίσεις στην Ασφάλεια Δεδομένων μπορούν να εντοπιστούν στον βασικό κώδικα της εφαρμογής στο 41% των περιπτώσεων. Είναι σημαντικό ότι η τεκμηρίωση της Google περιέχει διάφορα "παραθυράκια" που διευκολύνουν την ελλιπή αποκάλυψη πρακτικών δεδομένων. Συνολικά, διαπιστώνουμε ότι στην τρέχουσα μορφή της, η ενότητα Ασφάλεια δεδομένων του Android δεν επιτυγχάνει αποτελεσματικά τον στόχο της να αυξήσει τη διαφάνεια και να επιτρέπει στους χρήστες να παρέχουν ενημερωμένη συναίνεση. Υποστηρίζουμε ότι οι πολιτικές ασφάλειας δεδομένων του Android απαιτούν σημαντική μεταρρύθμιση και ότι οι αυτοματοποιημένοι μηχανισμοί επικύρωσης, όπως το σύστημα μας, είναι ζωτικής σημασίας για τη διασφάλιση της ορθότητας και της πληρότητας των αποκαλύψεων, στην ενότητα Ασφάλεια δεδομένων, των εφαρμογών.el
Type of ItemΜεταπτυχιακή Διατριβήel
Type of ItemMaster Thesisen
Licensehttp://creativecommons.org/licenses/by-nc-nd/4.0/en
Date of Item2023-11-28-
Date of Publication2023-
SubjectAndroiden
SubjectData safety sectionen
Bibliographic CitationIoannis Arkalakis, "Abandon all hope ye who enter here: A dynamic, longitudinal investigation of Android’s data safety section", Master Thesis, School of Electrical and Computer Engineering, Technical University of Crete, Chania, Greece, 2023en
Bibliographic CitationΙωάννης Αρκαλάκης, "Δυναμική και μεγάλης διάρκειας έρευνα του data safety section σε Android", Μεταπτυχιακή Διατριβή, Σχολή Ηλεκτρολόγων Μηχανικών και Μηχανικών Υπολογιστών, Πολυτεχνείο Κρήτης, Χανιά, Ελλάς, 2023el

Available Files

Services

Statistics