Improving Android app security and privacy with developers

Existing research has uncovered many security vulnerabilities in Android applications (apps) caused by inexperienced, and unmotivated developers. Especially, the lack of tool support makes it hard for developers to avoid common security and privacy problems in Android apps. As a result, this leads to apps with security vulnerability that exposes end users to a multitude of attacks. This thesis presents a line of work that studies and supports Android developers in writing more secure code. We first studied to which extent tool support can help developers in creating more secure applications. To this end, we developed and evaluated an Android Studio extension that identifies common security problems of Android apps, and provides developers suggestions to more secure alternatives. Subsequently, we focused on the issue of outdated third-party libraries in apps which also is the root cause for a variety of security vulnerabilities. Therefore, we analyzed all popular 3rd party libraries in the Android ecosystem, and provided developers feedback and guidance in the form of tool support in their development environment to fix such security problems. In the second part of this thesis, we empirically studied and measured the impact of user reviews on app security and privacy evolution. Thus, we built a review classifier to identify security and privacy related reviews and performed regression analysis to measure their impact on the evolution of security and privacy in Android apps. Based on our results we proposed several suggestions to improve the security and privacy of Android apps by leveraging user feedbacks to create incentives for developers to improve their apps toward better versions.Die bisherige Forschung zeigt eine Vielzahl von Sicherheitslücken in Android-Applikationen auf, welche sich auf unerfahrene und unmotivierte Entwickler zurückführen lassen. Insbesondere ein Mangel an Unterstützung durch Tools erschwert es den Entwicklern, häufig auftretende Sicherheits- und Datenschutzprobleme in Android Apps zu vermeiden. Als Folge führt dies zu Apps mit Sicherheitsschwachstellen, die Benutzer einer Vielzahl von Angriffen aussetzen. Diese Dissertation präsentiert eine Reihe von Forschungsarbeiten, die Android-Entwickler bei der Entwicklung von sichereren Apps untersucht und unterstützt. In einem ersten Schritt untersuchten wir, inwieweit die Tool-Unterstützung Entwicklern beim Schreiben von sicherem Code helfen kann. Zu diesem Zweck entwickelten und evaluierten wir eine Android Studio-Erweiterung, die gängige Sicherheitsprobleme von Android-Apps identifiziert und Entwicklern Vorschläge für sicherere Alternativen bietet. Daran anknüpfend, konzentrierten wir uns auf das Problem veralteter Bibliotheken von Drittanbietern in Apps, die ebenfalls häufig die Ursache von Sicherheitslücken sein können. Hierzu analysierten wir alle gängigen 3rd-Party-Bibliotheken im Android-Ökosystem und gaben den Entwicklern Feedback und Anleitung in Form von Tool-Unterstützung in ihrer Entwicklungsumgebung, um solche Sicherheitsprobleme zu beheben. Im zweiten Teil dieser Dissertation untersuchten wir empirisch die Auswirkungen von Benutzer-Reviews im Android Appstore auf die Entwicklung der Sicherheit und des Datenschutzes von Apps. Zu diesem Zweck entwickelten wir einen Review-Klassifikator, welcher in der Lage ist sicherheits- und datenschutzbezogene Reviews zu identifizieren. Nachfolgend untersuchten wir den Einfluss solcher Reviews auf die Entwicklung der Sicherheit und des Datenschutzes in Android-Apps mithilfe einer Regressionsanalyse. Basierend auf unseren Ergebnissen präsentieren wir verschiedene Vorschläge zur Verbesserung der Sicherheit und des Datenschutzes von Android-Apps, welche die Reviews der Benutzer zur Schaffung von Anreizen für Entwickler nutzen

Security considerations in the open source software ecosystem

Open source software plays an important role in the software supply chain, allowing stakeholders to utilize open source components as building blocks in their software, tooling, and infrastructure. But relying on the open source ecosystem introduces unique challenges, both in terms of security and trust, as well as in terms of supply chain reliability. In this dissertation, I investigate approaches, considerations, and encountered challenges of stakeholders in the context of security, privacy, and trustworthiness of the open source software supply chain. Overall, my research aims to empower and support software experts with the knowledge and resources necessary to achieve a more secure and trustworthy open source software ecosystem. In the first part of this dissertation, I describe a research study investigating the security and trust practices in open source projects by interviewing 27 owners, maintainers, and contributors from a diverse set of projects to explore their behind-the-scenes processes, guidance and policies, incident handling, and encountered challenges, finding that participants’ projects are highly diverse in terms of their deployed security measures and trust processes, as well as their underlying motivations. More on the consumer side of the open source software supply chain, I investigated the use of open source components in industry projects by interviewing 25 software developers, architects, and engineers to understand their projects’ processes, decisions, and considerations in the context of external open source code, finding that open source components play an important role in many of the industry projects, and that most projects have some form of company policy or best practice for including external code. On the side of end-user focused software, I present a study investigating the use of software obfuscation in Android applications, which is a recommended practice to protect against plagiarism and repackaging. The study leveraged a multi-pronged approach including a large-scale measurement, a developer survey, and a programming experiment, finding that only 24.92% of apps are obfuscated by their developer, that developers do not fear theft of their own apps, and have difficulties obfuscating their own apps. Lastly, to involve end users themselves, I describe a survey with 200 users of cloud office suites to investigate their security and privacy perceptions and expectations, with findings suggesting that users are generally aware of basic security implications, but lack technical knowledge for envisioning some threat models. The key findings of this dissertation include that open source projects have highly diverse security measures, trust processes, and underlying motivations. That the projects’ security and trust needs are likely best met in ways that consider their individual strengths, limitations, and project stage, especially for smaller projects with limited access to resources. That open source components play an important role in industry projects, and that those projects often have some form of company policy or best practice for including external code, but developers wish for more resources to better audit included components. This dissertation emphasizes the importance of collaboration and shared responsibility in building and maintaining the open source software ecosystem, with developers, maintainers, end users, researchers, and other stakeholders alike ensuring that the ecosystem remains a secure, trustworthy, and healthy resource for everyone to rely on

Privatsphäre, gibt’s da nicht 'ne App für? - Verbesserung von Privatsphäre-relevantem Verhalten durch bessere Informationen

Die vorliegende Arbeit beschäftigt sich mit dem digitalen Alltag von Endanwendern und den damit verbundenen Implikationen für die individuelle Privatsphäre. Der digitale Alltag beschreibt dabei den alltäglichen Umgang mit dem Smartphone beziehungsweise digitalen Diensten im Allgemeinen und die dafür häufig notwendige Preisgabe persönlicher Daten. In diesem Kontext wird auch das sogenannte Privatsphären Paradoxon thematisiert, welches den scheinbaren Widerspruch zwischen der Einstellung zu Privatsphäre-relevantem Verhalten und tatsächlich gezeigtem Verhalten beschreibt, und mittels eines integrativen Verhaltensmodells für Privatsphäre-relevantes Verhalten mögliche Erklärungen formuliert. Die Arbeit nähert sich dem Problemkomplex zunächst explorativ und versucht ein kleineres Teilproblem zu lösen, um danach induktiv auf den daraus gewonnenen Erkenntnissen sowie dem Stand der Forschung aufbauend ein erweitertes Modell zur Beschreibung des Phänomens zu formulieren. Für die Nutzung des Smartphones und der damit verfügbaren Online-Dienste werden im Allgemeinen kleine Softwareprogramme beziehungsweise Applikationen („Apps“) genutzt. Diese Applikationen sind, je nach verwendeten Betriebssystem, in zumeist bereits vorinstallierten Applikations-Stores zum Download verfügbar. Der Anwender kann hierbei aus mehreren Millionen verschiedenen Applikationen für die verschiedensten Anwendungsszenarien wählen. Ob für die Fahrplanauskunft des öffentlichen Nahverkehrs, ein kleines Sudoku Spiel zwischen durch oder Onlinebanking, mittels Smartphone und der zugehörigen Applikation ist dies alles unterwegs möglich. Viele Applikationen benötigen dabei Zugriff auf zum Teil persönliche Daten, die auf dem Smartphone gespeichert sind oder nutzen die vielfältigen Sensoren, die diese Geräte bieten. Dabei sind diese Daten zum Teil für die Funktionalität notwendig, wie zum Beispiel der aktuelle Aufenthaltsort bei einer Navigationssoftware, zum Teil aber auch nicht. Der Zugriff auf diese Ressourcen wird mittels sogenannter Berechtigungen vom Betriebssystem geregelt, welche der Anwender entweder vor der Installation der Applikation oder während der Nutzung bestätigen muss. Bei dieser Entscheidung ist der Anwender auf die Informationen angewiesen, die er entweder im Store selbst oder über externe Quellen, wie z.B. Foren oder öffentlich verfügbare Testseiten, finden kann. Um herauszufinden, wie sich gute Applikationen von weniger guten am besten unterscheiden lassen, wurden in der vorliegen Arbeit zunächst Interviews mit Experten aus der IT-Forschung und Wirtschaft geführt. Auf Basis der Erkenntnisse wurden verschiedene Heuristiken formuliert an denen sich Endanwender bei der Suche und Auswahl von Applikationen orientieren können. Hierbei zeigte sich, dass der Interpretation der durch die Applikationen geforderten Berechtigungen in Hinblick auf die eigene Privatsphäre besondere Bedeutung zukommt. Deswegen untersucht die vorliegende Arbeit im weiteren Verlauf die Darstellung dieser Berechtigungen. Hierbei werden zunächst die Darstellungen der Berechtigungen in den beiden am weitesten verbreiteten mobilen Betriebssystemen Android von Google sowie iOS von Apple untersucht und in Hinblick auf die Nützlichkeit für die Bewertung möglicher Privatsphäre-Risiken bewertet. Es zeigen sich dabei Mängel sowohl in Bezug auf den Detailgrad als auch die Verständlichkeit der Darstellungen. Dies resultiert vor allem aus dem Bestreben durch Reduktion der Komplexität die Verständlichkeit der Darstellung zu verbessern, da dies auch ein Verlust von Informationsgehalt zur Folge hat. Vor diesem Hintergrund werden im Folgenden verschiedene Vorschläge aus der Forschungsliteratur diskutiert und auf Basis der gewonnenen Erkenntnisse Anforderungen für eine eigene Darstellung formuliert. Auf Basis dieser Anforderungen wird im Rahmen dieser Arbeit der Prototyp einer eigenen Darstellung für Berechtigungen entwickelt und in einer Evaluationsstudie sowohl mit etablierten Darstellungen als auch Vorschlägen aus der Literatur verglichen. Es zeigt sich, dass insbesondere bei bewusster Ausnutzung des Berechtigungssystems, d.h. gezieltem Anfordern bestimmter Berechtigungsmuster, die bestehenden Darstellungen dem Endanwender keine Privatsphäre-schützende Entscheidung ermöglichen. Die Reduktion der Komplexität und der damit einhergehende Verlust an Informationsqualität kann ein Verständnis für die angeforderte Berechtigungskombination verhindern, sodass Anwender einer bewussten Täuschung hilflos ausgeliefert sind. Der entwickelte Prototyp zeigt auch in solchen Situationen eine robuste und konstant gute Informationsqualität und ermöglicht dem Anwender eine bessere Entscheidung durch bessere Informationen. Zum besseren Verständnis der gewonnenen Erkenntnisse und um eine Übertragung auf einen allgemeinen Anwendungskontext zu ermöglichen, wird in der vorliegenden Arbeit im weiteren Verlauf ein integratives Verhaltensmodell formuliert und evaluiert. Hierbei werden insgesamt neunzehn verschiedene Einflussfaktoren, die bereits in der Literatur vorgeschlagen wurden zu einem integrativen Verhaltensmodell zusammengefügt und in einer Onlinestudie zur Verhaltensvorhersage genutzt. Die Teilnehmer werden hierbei zunächst nach verschiedensten persönlichen Informationen befragt, um in der zweiten Phase der Studie Fragen zu den erhobenen Konstrukten zu beantworten. Hierbei kristallisieren sich insbesondere die situationsspezifischen Privatsphäre-Bedenken, die subjektiven Vorteile der Dienstnutzung sowie die subjektive Sensitivität der abgefragten Daten als gute Prädiktoren mit direkten Effekten auf das gezeigte Verhalten heraus. Es zeigt sich, dass eine umfassendere Betrachtung der diversen Einflussfaktoren helfen kann, die Verhaltensbildung im Kontext der Privatsphäre besser zu verstehen. In den letzten zehn Jahren wurde in der Privatsphären-Forschung häufig ein Mangel an Verständnis und Bewusstsein gegenüber technischen Vorgängen und Zusammenhängen bei Endanwendern dokumentiert, wobei hierbei sowohl Usability-Probleme als auch fehlendes Wissen oder Aufmerksamkeit als mögliche Ursachen diskutiert und identifiziert wurden. Die Ergebnisse unterstreichen dabei die Bedeutsamkeit dieser Erkenntnisse. Anwender berücksichtigen in ihren Entscheidungen durchaus in starkem Maße, ob erhobene Daten eine Verletzung der eigenen Privatsphäre darstellen. Um dies jedoch zu tun müssen sie dafür wissen, welche Daten überhaupt erhoben werden und, insbesondere bei eher technischen Daten wie z.B. IP-Adressen, was diese bedeuten. Der Gestaltung gut strukturierter Informationen kommt somit im Kontext der Privatsphäre besondere Bedeutung zu, da nur diese den Anwender in die Lage versetzen in seinem Sinne gute und fundierte Entscheidungen zu treffen

A trustworthy architecture for sharing user-generated content on the web

Die Dynamik des Social Webs motiviert zum Teilen nutzergenerierter Inhalte. Diese entstehen in zahlreichen Social Networks meist unter Missachtung der Schutzziele der IT-Sicherheit: Vertraulichkeit, Verfügbarkeit und Integrität von Nutzerdaten. Betreiber von Web-Anwendungen können Inhalte ihrer Nutzer einsehen, fälschen, löschen oder zu unbekannten Zwecken auswerten und verfügen über Wissen über Kommunikationspartner und -verhalten - ohne, dass sich Benutzer wirksam davor absichern könnten. Von dem im Grundgesetz verankerten Recht auf Privatsphäre ausgehend soll im Rahmen dieser Ausarbeitung eine neuartige Architektur zum Teilen nutzergenerierter Inhalte im Web entwickelt werden, die Benutzeranforderungen an die Erfüllung der Schutzziele der IT-Sicherheit vollständig gewährleistet und darüber hinaus durch eine bewusste Kommunikation dieser Qualität als vertrauenswürdig aufgefasst werden kann. In einem Goal-directed Design-Prozess wird eine Architekturskizze entwickelt, welche die im Prozess erarbeiteten Benutzeranforderungen durch die Bereitstellung zweier Web-Services erfüllt: Der Signed Content Storage adressiert als zuverlässiger und durch den Urheber autorisierter Web-Speicherort signierter, nutzergenerierter Inhalte die Schutzziele Verfügbarkeit und Integrität. In Kombination mit dem Identity Provider, der gesicherte Informationen von Urheber und Teilhabern zur Verfügung stellt, ist ein vertrauliches Teilen von Inhalten im Web möglich. Vertrauenswürdigkeit gewinnt diese Architektur durch konsequente Transparenz, Selbstbeschreibungsfähigkeit, externe Bewertbarkeit und der Dokumentationsfähigkeit von Nutzungserfahrungen

Digitale Schwellen: Freiheit und Privatheit in der digitalisierten Welt

Eine Welt digitaler Techniken im weitesten Sinne verändert die Kommunikationsbeziehungen, die sozialen Beziehungen der Menschen untereinander und damit auch die sozialen Verhältnisse der Menschen in der Gesellschaft in fundamentaler Weise. Wir stehen ganz offensichtlich erst an der Schwelle des Verstehens dieser komplexen und alle Lebensbereiche verändernden Revolution. Die technischen Möglichkeiten, die unser Leben ja auch erleichtern können und schöner und klüger machen, werden in großer Geschwindigkeit erweitert, immer neue Schwellen des Mach- und Denkbaren werden permanent überschritten. Redaktionsschluss: April 201

Analyse der softwarebasierten Einflussnahme auf eine verkürzte Nutzungsdauer von Produkten

ANALYSE DER SOFTWAREBASIERTEN EINFLUSSNAHME AUF EINE VERKÜRZTE NUTZUNGSDAUER VON PRODUKTEN Analyse der softwarebasierten Einflussnahme auf eine verkürzte Nutzungsdauer von Produkten / Jaeger-Erben, Melanie (Rights reserved) ( -

Towards Modular and Flexible Access Control on Smart Mobile Devices

Smart mobile devices, such as smartphones and tablets, have become an integral part of our daily personal and professional lives. These devices are connected to a wide variety of Internet services and host a vast amount of applications, which access, store and process security- and privacy-sensitive data. A rich set of sensors, ranging from microphones and cameras to location and acceleration sensors, allows these applications and their back end services to reason about user behavior. Further, enterprise administrators integrate smart mobile devices into their IT infrastructures to enable comfortable work on the go. Unsurprisingly, this abundance of available high-quality information has made smart mobile devices an interesting target for attackers, and the number of malicious and privacy-intrusive applications has steadily been rising. Detection and mitigation of such malicious behavior are in focus of mobile security research today. In particular, the Android operating system has received special attention by both academia and industry due to its popularity and open-source character. Related work has scrutinized its security architecture, analyzed attack vectors and vulnerabilities and proposed a wide variety of security extensions. While these extensions have diverse goals, many of them constitute modifications of the Android operating system and extend its default permission-based access control model. However, they are not generic and only address specific security and privacy concerns. The goal of this dissertation is to provide generic and extensible system-centric access control architectures, which can serve as a solid foundation for the instantiation of use-case specific security extensions. In doing so, we enable security researchers, enterprise administrators and end users to design, deploy and distribute security extensions without further modification of the underlying operating system. To achieve this goal, we first analyze the mobile device ecosystem and discuss how Android's security architecture aims to address its inherent threats. We proceed to survey related work on Android security, focusing on system-centric security extensions, and derive a set of generic requirements for extensible access control architectures targeting smart mobile devices. We then present two extensible access control architectures, which address these requirements by providing policy-based and programmable interfaces for the instantiation of use-case specific security solutions. By implementing a set of practical use-cases, ranging from context-aware access control, dynamic application behavior analysis to isolation of security domains we demonstrate the advantages of system-centric access control architectures over application-layer approaches. Finally, we conclude this dissertation by discussing an alternative approach, which is based on application-layer deputies and can be deployed whenever practical limitations prohibit the deployment of system-centric solutions

Security and Privacy for IoT Ecosystems

Smart devices have become an integral part of our everyday life. In contrast to smartphones and laptops, Internet of Things (IoT) devices are typically managed by the vendor. They allow little or no user-driven customization. Users need to use and trust IoT devices as they are, including the ecosystems involved in the processing and sharing of personal data. Ensuring that an IoT device does not leak private data is imperative. This thesis analyzes security practices in popular IoT ecosystems across several price segments. Our results show a gap between real-world implementations and state-of-the-art security measures. The process of responsible disclosure with the vendors revealed further practical challenges. Do they want to support backward compatibility with the same app and infrastructure over multiple IoT device generations? To which extent can they trust their supply chains in rolling out keys? Mature vendors have a budget for security and are aware of its demands. Despite this goodwill, developers sometimes fail at securing the concrete implementations in those complex ecosystems. Our analysis of real-world products reveals the actual efforts made by vendors to secure their products. Our responsible disclosure processes and publications of design recommendations not only increase security in existing products but also help connected ecosystem manufacturers to develop secure products. Moreover, we enable users to take control of their connected devices with firmware binary patching. If a vendor decides to no longer offer cloud services, bootstrapping a vendor-independent ecosystem is the only way to revive bricked devices. Binary patching is not only useful in the IoT context but also opens up these devices as research platforms. We are the first to publish tools for Bluetooth firmware and lower-layer analysis and uncover a security issue in Broadcom chips affecting hundreds of millions of devices manufactured by Apple, Samsung, Google, and more. Although we informed Broadcom and customers of their technologies of the weaknesses identified, some of these devices no longer receive official updates. For these, our binary patching framework is capable of building vendor-independent patches and retrofit security. Connected device vendors depend on standards; they rarely implement lower-layer communication schemes from scratch. Standards enable communication between devices of different vendors, which is crucial in many IoT setups. Secure standards help making products secure by design and, thus, need to be analyzed as early as possible. One possibility to integrate security into a lower-layer standard is Physical-Layer Security (PLS). PLS establishes security on the Physical Layer (PHY) of wireless transmissions. With new wireless technologies emerging, physical properties change. We analyze how suitable PLS techniques are in the domain of mmWave and Visible Light Communication (VLC). Despite VLC being commonly believed to be very secure due to its limited range, we show that using VLC instead for PLS is less secure than using it with Radio Frequency (RF) communication. The work in this thesis is applied to mature products as well as upcoming standards. We consider security for the whole product life cycle to make connected devices and IoT ecosystems more secure in the long term