Analyzing Privacy and Data Protection Violations in Mobile Applications
Mobile applications have access to the data contained on our smartphones. They are also notorious for collecting and transmitting data to advertisers and known trackers despite the presence of strict data protection legislation. This has severe implications for our privacy, as the data collected and transmitted is not necessarily benign and can provide deep insights into the everyday smartphone users. It is important to understand what data is transmitted to whom, what happens to the data, whether the user can influence the data transmission, and whether constant network communication is not already a privacy problem.
In this thesis, those questions are addressed by developing the required tooling to collect encrypted and decrypted app traffic, as well as to conduct an in-depth traffic analysis. We apply this tooling to over 10 000 apps across Android and iOS. Our results prove that apps transmit more data than they publicly admit and that even though users are occasionally asked for consent to data collection, it does not impact overall data transmission. We also find evidence that transmitted
personal messages of some chat apps are processed by their providers, and that the constant traffic of apps by itself already presents a privacy risk. Thus, privacy and data protection in mobile apps are contested spaces. Apps frequently skirt European data protection laws, which has implications for users’ privacy, and users need to be aware of this when using their smartphones and apps.
Smartphone-Applikationen haben Zugriff auf die Daten, die auf dem Gerät hinterlegt sind. Sie sind aber wiederum auch berüchtigt dafür, Daten an Werbe- und Trackingunternehmen zu verschicken, trotz strenger Datenschutzgesetzgebung. Dies hat klare Implikationen für die Privatsphäre, da Daten, die auf dem Smartphone hinterlegt sind und potenziell übermittelt werden, privater Natur sein können. Es ist also wichtig zu wissen, welche Daten wohin übertragen werden,
was mit den Daten passiert, ob der Nutzer die Datenübertragung beeinflussen kann, und ob nicht bereits der Umstand der konstant stattfindenen App-Kommunikation ein Privatsphäre-Problem darstellt.
In dieser Thesis werden die Fragen adressiert, indem Tooling gebaut wird, das sowohl verschlüsselte und entschlüsselte App-Kommunikation sammeln kann, als auch diese analysiert. Wir nutzen dieses Tooling, um über 10 000 Apps von Android wie iOS zu analysieren. Unsere Resultate zeigen, dass Apps mehr Daten übertragen, als sie öffentlich zugeben, und die Einwilligung oder Verweigerung von Datensammlung in Privacy Dialogen keinen Effekt auf die letztlich übertragenen Daten hat. Weiterhin finden wir Indizien, dass Nachrichten, die über bestimmte Chat-Apps übertragen werden, von den Anbietern der App weiterverarbeitet werden und bereits die konstant stattfindende App-Kommunikation ein Privatsphäre-Problem darstellt. Apps sind somit aus Sicht der Privatsphäre riskant und verstoßen gegen EU-Datenschutzrecht. Nutzer müssen sich dessen bewusst sein, wenn sie ihr Smartphone und die darauf installierten Apps verwenden.
Preview
Rights
Use and reproduction:
Access Statistic
