Understanding and measuring privacy violations in Android apps

Increasing data collection and tracking of consumers by today’s online services is becoming a major problem for individuals’ rights. It raises a serious question about whether such data collection can be legally justified under legislation around the globe. Unfortunately, the community lacks insight into such violations in the mobile ecosystem. In this dissertation, we approach these problems by presenting a line of work that provides a comprehensive understanding of privacy violations in Android apps in the wild and automatically measures such violations at scale. First, we build an automated tool that detects unexpected data access based on user perception when interacting with the apps’ user interface. Subsequently, we perform a large-scale study on Android apps to understand how prevalent violations of GDPR’s explicit consent requirement are in the wild. Finally, until now, no study has systematically analyzed the currently implemented consent notices and whether they conform to GDPR in mobile apps. Therefore, we propose a mostly automated and scalable approach to identify the current practices of implemented consent notices. We then develop an automatic tool that detects data sent out to the Internet with different consent conditions. Our result shows the urgent need for more transparent user interface designs to better inform users of data access and call for new tools to support app developers in this endeavor.Die zunehmende Datenerfassung und Verfolgung von Konsumenten durch die heutigen Online-Dienste wird zu einem großen Problem für individuelle Rechte. Es wirft eine ernsthafte Frage auf, ob eine solche Datenerfassung nach der weltweiten Gesetzgebung juristisch begründet werden kann. Leider hat die Gemeinschaft keinen Einblick in diese Verstöße im mobilen Ökosystem. In dieser Dissertation nähern wir uns diesen Problemen, indem wir eine Arbeitslinie vorstellen, die ein umfassendes Verständnis von Datenschutzverletzungen in Android- Apps in der Praxis bietet und solche Verstöße automatisch misst. Zunächst entwickeln wir ein automatisiertes Tool, das unvorhergesehene Datenzugriffe basierend auf der Nutzung der Benutzeroberfläche von Apps erkennt. Danach führen wir eine umfangreiche Studie zu Android-Apps durch, um zu verstehen, wie häufig Verstöße gegen die ausdrückliche Zustimmung der GDPR vorkommen. Schließlich hat bis jetzt keine Studie systematisch die gegenwärtig implementierten Zustimmungen und deren Übereinstimmung mit der GDPR in mobilen Apps analysiert. Daher schlagen wir einen meist automatisierten und skalierbaren Ansatz vor, um die aktuellen Praktiken von Zustimmungen zu identifizieren. Danach entwickeln wir ein Tool, das Daten erkennt, die mit unterschiedlichen Zustimmungsbedingungen ins Internet gesendet werden. Unser Ergebnis zeigt den dringenden Bedarf an einer transparenteren Gestaltung von Benutzeroberflächen, um die Nutzer besser über den Datenzugriff zu informieren, und wir fordern neue Tools, die App-Entwickler bei diesem Unterfangen unterstützen. ii

Einfluss der Qualität von Rohstoffen auf die Schwankung der Applikations- und Anwendungsparameter von Wasserbasislacken

Die Qualität eines Lackes hängt nicht nur von den Herstellungs- und Applikationsverfahren, sondern auch von der Qualität der Rohstoffe, die für diesen Lack eingesetzt werden, ab. Die vorliegende Doktorarbeit befasst sich im Detail mit Untersuchungen, die den Einfluss einer schlechten Rohstoffqualität auf die Lackeigenschaften nachweisen und die erzielten Erkenntnisse als Grundlage zur Entwicklung analytischer Verfahren der Fehlerfrüherkennung nutzen sollen. Ein Lack stellt eine komplexe Mischung mehrerer Bestandteile dar, die jeder für sich zum gesamten Eigenschaftsspektrum des fertigen Lackes beitragen. Daher spielen Schwankungen der Qualität dieser verschiedenen Rohstoffe eine wesentliche Rolle bei Variationen der Qualität des Fertigproduktes. Diese Schwankungen können durch die Auswertung verschiedener Applikationseigenschaften des Fertigproduktes, wie zum Beispiel die Läuferneigungs-, die Nadelstich- und die Kochergrenze, die Helligkeit, das Deckvermögen oder durch Strukturoberflächenmessungen nachgewiesen werden. Zur Zeit gibt es aber noch keine schnelle, reproduzierbare Prüfmethode für die Qualitätsschwankungen der Rohstoffe, deren Ergebnisse eine Korrelation mit der Variation der Applikationseigenschaften erlauben. Das Hauptziel dieser Doktorarbeit besteht darin, die Auswirkung der Schwankung der Rohstoff-Qualität auf die Lackeigenschaften mit einem analytischen Verfahren vorherzusagen. Diese Methode soll bestimmte Bedingungen erfüllen: - die Ergebnisse dieser Prüfmethode sollen in weniger als zwei Tagen verfügbar sein. - die Ergebnisse sollen zuverlässig und reproduzierbar sein. - die Methode soll auf andere Werkslaboratorien leicht übertragbar sein. - die Methode soll kostengünstig sein. Die Standart-Testmethode von DuPont Performance Coatings für die Rohstoffprüfung stützt sich zur Zeit auf klassische Spezifikationen (Bestätigung des pH-Wertes, der Viskosität, des Feststoffgehaltes, usw). Diese Eigenschaften werden nach festgelegten Prüfvorschriften gemessen und die Ergebnisse müssen den Sollwerten entsprechen. Auf diese Weise können die Rohstoff-Chargen als in Ordnung (i.O.) oder nicht in Ordnung (n.i.O.) sortiert werden. Ein Lack enthält aber viele Komponenten und die o.g. Methoden erlauben nicht, den Einfluß unterschiedlicher Bestandteile und Schwankungen der Rohmaterial-Qualität auf das Fertig-produkt zu prüfen. Außerdem haben die Spezifikationen der unterschiedlichen Rohstoffe nicht alle eine vergleichbare Aussagekraft: die pH-Messung einer Aminlösung sagt z.B. mehr aus, als die eines Harzes. Um die Aussagekraft und die Bewertungskriterien zu verbessern, wurde das Fingerprint Analyse System (FAS), eine vorbeugende Methode zur Qualitätssicherung, entwickelt. Mit dieser Methode werden nicht nur das Fertigprodukt geprüft, sondern auch die Rohstoff-Chargen. In der Tat werden die Applikationseigenschaften der Fertigprodukte gemessen und dank dieser Daten ist es möglich, die Qualität der Rohstoffe und des Lackes zu überprüfen. Ziel dieser Prüfung ist die Bestimmung einer Korrelation zwischen den mit der FAS-Auswertung erhaltenen Ergebnissen und den Ergebnissen aus der Produktionslinie. Mit der FAS-Methode kommen die Prüfbedingungen der Realität näher, die Methode ist aber sehr aufwendig und teuer: es muss ein Lack für jeden Rohstoff hergestellt und lackiert werden. Zur Umgehung dieser verschiedenen Probleme, soll eine spektroskopische Prüfmethode eingesetzt werden. Nach einer Bestandsaufnahme der möglichen spektroskopischen Methoden wurden für diese Arbeit drei Verfahren ausgewählt: die NIR-, die Raman- und die MIR/ATR (Abgeschwächte Totalreflexion)-Spektroskopie. Diese drei Methoden sollen mit Hilfe der Erstellung von Kalibrationen über chemometrische Auswerteverfahren bezüglich der Vorhersage quantitativer und qualitativer Ergebnisse der Lackeigenschaften getestet werden. Die entwickelten Kalibrationsmodelle stellen die Grundlage zur Bestimmung der Lackparameter der unbekannten Proben dar: durch die Aufnahme des Spektrums eines unbekannten Nasslackes (allerdings mit denselben Bestandteilen, derselben Formulierung und demselben Lackierprogramm wie die für die Erstellung des Kalibrationsmodelles verwendeten Nasslacke) soll mit Hilfe des Kalibrationsmodelles ein bestimmter Lack-parameter vorhergesagt werden. Die Aussagekraft dieser Methoden wird dabei durch den Einsatz der FAS-Methode als Referenzverfahren wesentlich erhöht. Auf diese Weise könnten sowohl der Arbeitsaufwand als auch die Analysenkosten beträchtlich reduziert werden. Zusammenfassend soll mit den FAS-Messungen und einer spektroskopischen Methode mit chemometrischem Auswerteverfahren eine neue und schnelle Prüfmethode entwickelt werden, die den Einfluss von Schwankungen der Rohmaterial-Qualität auf die Applikations- und Anwendungseigenschaften von Wasserbasislacken analysiert und zu einem möglichst frühen Zeitpunkt Fehlchargen von Rohstoffen erkennt. Für die Entwicklung einer derartigen Prüfmethode wurden nicht nur die Rohstoffe sondern auch die Nasslacke miteinbezogen

Rateless codes-based secure communication employing transmit antenna selection and harvest-to-jam under joint effect of interference and hardware impairments

In this paper, we propose a rateless codes-based communication protocol to provide security for wireless systems. In the proposed protocol, a source uses the transmit antenna selection (TAS) technique to transmit Fountain-encoded packets to a destination in presence of an eavesdropper. Moreover, a cooperative jammer node harvests energy from radio frequency (RF) signals of the source and the interference sources to generate jamming noises on the eavesdropper. The data transmission terminates as soon as the destination can receive a sufficient number of the encoded packets for decoding the original data of the source. To obtain secure communication, the destination must receive sufficient encoded packets before the eavesdropper. The combination of the TAS and harvest-to-jam techniques obtains the security and efficient energy via reducing the number of the data transmission, increasing the quality of the data channel, decreasing the quality of the eavesdropping channel, and supporting the energy for the jammer. The main contribution of this paper is to derive exact closed-form expressions of outage probability (OP), probability of successful and secure communication (SS), intercept probability (IP) and average number of time slots used by the source over Rayleigh fading channel under the joint impact of co-channel interference and hardware impairments. Then, Monte Carlo simulations are presented to verify the theoretical results.Web of Science217art. no. 70

Identification of the Technical Condition of Roller Bearings by means of Vibrodiagnostics and Tribodiagnostics

This paper focuses on determining the technical condition of a bearing box in the vehicle by means of vibrodiagnostics. In the next step, we determined the technical condition of roller bearings in the bearing box by measuring the vibration signal. One of the possibilities of determining the technical condition, including the location of accelerometers, the arrangement of relevant measured devices, and the analysis of frequency spectrum, is described in the paper. The aim of the experiment was to measure vibrations of the bearings placed in the vehicle bearing box and then to carry out the analysis of the measured data. The second part of the paper presents the analysis of samples of the plastic lubricant used for lubricating the tested roller bearings. For the analysis, we used an AES Spectroil Q100 device which works on the principle of atomic spectral analysis

Freely Given Consent? Studying Consent Notice of Third-Party Tracking and Its Violations of GDPR in Android Apps

Adopted in May 2018, the European Union's General Data Protection Regulation (GDPR) requires the consent for processing users' personal data to be freely given, specific, informed, and unambiguous. While prior work has shown that this often is not given through automated network traffic analysis, no research has systematically studied how consent notices are currently implemented and whether they conform to GDPR in mobile apps. To close this research gap, we perform the first large-scale study into consent notices for third-party tracking in Android apps to understand the current practices and the current state of GDPR's consent violations. Specifically, we propose a mostly automated and scalable approach to identify the currently implemented consent notices and apply it to a set of 239,381 Android apps. As a result, we recognize four widely implemented mechanisms to interact with the consent user interfaces from 13,082 apps. We then develop a tool that automatically detects users' personal data sent out to the Internet with different consent conditions based on the identified mechanisms. Doing so, we find 30,160 apps do not even attempt to implement consent notices for sharing users' personal data with third-party data controllers, which mandate explicit consent under GDPR. In contrast, out of 13,082 apps implemented consent notices, we identify 2,688 (20.54%) apps violate at least one of the GDPR consent requirements, such as trying to deceive users into accepting all data sharing or even continuously transmitting data when users have explicitly opted out. To allow developers to address the problems, we send emails to notify affected developers and gather insights from their responses. Our study shows the urgent need for more transparent processing of personal data and supporting developers in this endeavor to comply with legislation, ensuring users can make free and informed choices regarding their data

Effects of steel corrosion to BFRP Strengthened columns under eccentric loading

The experiment consists of twenty-four mid-scale rectangular RC columns (200x200x800mm) strengthening by BFRP sheets and research variables include: BFRP layer (0, 1, and 3 layers); eccentricity (25mm and 75mm); and 4 levels of steel corrosion. The results reveal that SEL (ratio of ultimate load of strengthened member to that of corresponding controlled member) is direct proportion with steel corrosion while SEV (ratio of ultimate vertical displacement of strengthened member to that of corresponding controlled member) is inverse proportion with steel corrosion; SEL slightly increases with the increase of BFRP layer and eccentricity; but SEV decreases noticeably with the increase of BFRP layer and eccentricity. In addition,the interaction between FRP sheets, stirrups, and longitudinal reinforcement in steel degraded BFRP strengthened columns is very strong.However, column design basing on current design manuals and codes as ACI 440.2R and CNR DT 200R1 has not mentioned this affect. Thus, the load capacity prediction of column being strengthened by BFRP sheets should include levels of steel corrosion for reality, reasonable, and integral of the design

Effects of steel corrosion to BFRP Strengthened columns under eccentric loading

The experiment consists of twenty-four mid-scale rectangular RC columns (200x200x800mm) strengthening by BFRP sheets and research variables include: BFRP layer (0, 1, and 3 layers); eccentricity (25mm and 75mm); and 4 levels of steel corrosion. The results reveal that SEL (ratio of ultimate load of strengthened member to that of corresponding controlled member) is direct proportion with steel corrosion while SEV (ratio of ultimate vertical displacement of strengthened member to that of corresponding controlled member) is inverse proportion with steel corrosion; SEL slightly increases with the increase of BFRP layer and eccentricity; but SEV decreases noticeably with the increase of BFRP layer and eccentricity. In addition,the interaction between FRP sheets, stirrups, and longitudinal reinforcement in steel degraded BFRP strengthened columns is very strong.However, column design basing on current design manuals and codes as ACI 440.2R and CNR DT 200R1 has not mentioned this affect. Thus, the load capacity prediction of column being strengthened by BFRP sheets should include levels of steel corrosion for reality, reasonable, and integral of the design

Share First, Ask Later (or Never?) - Studying Violations of GDPR's Explicit Consent in Android Apps

Since the General Data Protection Regulation (GDPR) went into effect in May 2018, online services are required to obtain users' explicit consent before sharing users' personal data with third parties that use the data for their own purposes. While violations of this legal basis on the Web have been studied in-depth, the community lacks insight into such violations in the mobile ecosystem. We perform the first large-scale measurement on mobile apps in the wild to understand the current state of the violation of GDPR's explicit consent. Specifically, we build an automated pipeline to detect data sent out to the Internet without prior consent and apply it to a set of 86,163 Android apps. Based on the domains that receive data protected under the GDPR without prior consent, we collaborate with a legal scholar to assess if these contacted domains are third-party data controllers. Doing so, we find 24,838 apps send personal data towards data controllers without the user's explicit prior consent. To understand the reasons behind this, we run a notification campaign to inform affected developers and gather insights from their responses. We then conduct an in-depth analysis of violating apps, the corresponding third parties' documentation, and privacy policies. Based on the responses and our analysis of available documentation, we derive concrete recommendations for all involved entities in the ecosystem to allow data subjects to exercise their fundamental rights and freedoms

Secrecy performance enhancement for underlay cognitive radio networks employing cooperative multi-hop transmission with and without presence of hardware impairments

In this paper, we consider a cooperative multi-hop secured transmission protocol to underlay cognitive radio networks. In the proposed protocol, a secondary source attempts to transmit its data to a secondary destination with the assistance of multiple secondary relays. In addition, there exists a secondary eavesdropper who tries to overhear the source data. Under a maximum interference level required by a primary user, the secondary source and relay nodes must adjust their transmit power. We first formulate effective signal-to-interference-plus-noise ratio (SINR) as well as secrecy capacity under the constraints of the maximum transmit power, the interference threshold and the hardware impairment level. Furthermore, when the hardware impairment level is relaxed, we derive exact and asymptotic expressions of end-to-end secrecy outage probability over Rayleigh fading channels by using the recursive method. The derived expressions were verified by simulations, in which the proposed scheme outperformed the conventional multi-hop direct transmission protocol.Web of Science212art. no. 21

DiffCSP: Finding Browser Bugs in Content Security Policy Enforcement through Differential Testing

The Content Security Policy (CSP) is one of the de facto security mechanisms that mitigate web threats. Many websites have been deploying CSPs mainly to mitigate cross-script scripting (XSS) attacks by instructing client browsers to constrain JavaScript (JS) execution. However, a browser bug in CSP enforcement enables an adversary to bypass a deployed CSP, posing a security threat. As the CSP specification evolves, CSP becomes more complicated in supporting an increasing number of directives, which brings additional complexity to implementing correct enforcement behaviors. Unfortunately, the finding of CSP enforcement bugs in a systematic way has been largely understudied. In this paper, we propose DiffCSP, the first differential testing framework to find CSP enforcement bugs regarding JS execution. DiffCSP generates CSPs and a comprehensive set of HTML instances that exhibit all known ways of executing JS snippets. DiffCSP then executes each HTML instance for each generated policy across different browsers, thereby collecting inconsistent execution results. To analyze a large volume of the execution results, we leverage a decision tree and identify common causes of the observed inconsistencies. We demonstrate the efficacy of DiffCSP by finding 29 security bugs and eight functional bugs. We also show that three bugs are due to unclear descriptions of the CSP specification. We further identify the common root causes of CSP enforcement bugs, such as incorrect CSP inheritance and hash handling. Moreover, we confirm the risky trend of client browsers deriving completely different interpretations from the same CSPs, which raises security concerns. Our study demonstrates the effectiveness of DiffCSP for identifying CSP enforcement bugs, and our findings contributed to patching six security bugs in major browsers, including Chrome and Safari