Titelaufnahme

Titel
Data leak detection in smartphone applications / von Andreas Kirchner
VerfasserKirchner, Andreas
Begutachter / BegutachterinCandea, George ; Chipounov, Vitaly
Erschienen2011
UmfangIX, 55 S. : Ill.
HochschulschriftWien, Techn. Univ., Dipl.-Arb., 2011
Anmerkung
Zsfassung in dt. Sprache
SpracheDeutsch
DokumenttypDiplomarbeit
Schlagwörter (DE)Datenleck Detektor / Taint Tracking / Privacy / Datensicherheit / Smartphone / Softwareanalyse / Symbolische Ausführung / Virtualisierung / Android / Anwendungen von Drittanbietern
Schlagwörter (EN)data leak detection / taint tracking / privacy / data security / smartphone / software analysis / symbolic execution / virtualization / Android / third party application
URNurn:nbn:at:at-ubtuw:1-45963 Persistent Identifier (URN)
Zugriffsbeschränkung
 Das Werk ist frei verfügbar
Dateien
Data leak detection in smartphone applications [1.14 mb]
Links
Nachweis
Klassifikation
Zusammenfassung (Deutsch)

Wenn eine Benutzerin eine Smartphoneanwendung von Drittanbietern installiert, weiß sie vorher nicht ob sensible, auf dem Smartphone gespeicherte, Daten - wie etwa Daten über ihren aktuellen Aufenthaltsort, die eindeutige Geräte ID oder sogar Daten über ihren Gesundheitszustand - ihr Telefon verlassen. Das wirft Bedenken bezüglich Privacy und Datensicherheit auf, da Smartphones im beruflichen und privaten Alltag immer häufiger eingesetzt werden.

Diese Diplomarbeit beschäftigt sich mit dem Design und der Implementierung eines Prototyps von Leakalizer, einem Tool zur automatischen Erkennung von Datenlecks in Smartphoneanwendungen. Das geschieht in drei Schritten: Zuerst führt Leakalizer eine gründliche Untersuchung der Ausführungspfade der Zielapplikation durch. Danach werden sensible Daten für jeden Ausführungspfad verfolgt. Schließlich meldet Leakalizer wenn sensible Daten das Smartphone verlassen. Der Prototyp erstellt ein virtuelles Smartphone auf einem Desktop PC um den Android Software Stack zu starten, er wendet symbolische Ausführung an um Ausführungspfade der Zielapplikation zu traversieren, und er benutzt Dynamic Taint Tracking um das Versenden von sensiblen Daten zu erkennen.

Leakalizer demonstriert wie die systematische Untersuchung von Ausführungspfaden in Smartphoneanwendungen verwendet werden kann um Datenlecks sichtbar zu machen. Dies hilft Benutzerinnen und Organisationen die Vertrauenswürdigkeit von Applikationen von Drittanbietern zu bewerten.

Zusammenfassung (Englisch)

When a user installs a third party application on her smartphone, she does not know in advance whether sensitive data - like her current location, the unique device ID or even data about her health condition - leaves the phone. This raises new concerns about privacy and data security, since more and more people are using smartphones in private and business life.

In this thesis, we design and implement a prototype of Leakalizer, a tool to automatically detect data leaks in smartphone applications in three steps. First, Leakalizer thoroughly explores execution paths of the target application. Then, for each path, it traces sensitive data.

Finally, Leakalizer reports all sensitive data that leaves the smartphone. The prototype emulates a smartphone device on a desktop PC to run the Android software stack, applies symbolic execution to traverse execution paths of the target application, and uses dynamic taint tracking to detect transmissions of sensitive data.

Leakalizer demonstrates how a thorough exploration of execution paths in a smartphone application can be used to make data leaking behavior visible, which helps users and organizations to assess the trustworthiness of a given application.