Automated Privacy Protection For Mobile Devices

Abstract

The pervasiveness of smart devices and the always connected paradigm has fostered applications that benefit from sensing the environment to provide contextualized services to users. This paradigm has undeniably made lives easier by breaking language barriers, providing effective navigation routing and constant communication and availability, to name a few. For all of these services however, a significant amount of information is exchanged with service providers, some of which can be considered private and sensitive. Furthermore, after being collected, users have limited control over their data. To preserve privacy before the data is sent to service providers, mobile devices employ permission managers. These mechanisms allow users to control access to sensitive resources and data by the installed applications. However, currently deployed managers have been shown inefficient at both protecting and warning users against the possible risks. Specifically, the main drawback of current systems lies in the number of permissions that are automatically accepted. After being allowed once, applications can generally access the same resource at any time, without user consent or even awareness. These automatically accepted permissions can violate the privacy preferences of the user at each current context, i.e., they violate privacy’s contextual integrity, and therefore contradict users expectations. Automation in permission managers is paramount as the number installed applications and respective permissions renders inefficient constantly asking the user. In fact, it would lead users to became fatigued and therefore to promptly dismiss the privacy notices. Hence, the automation must be smart by taking into account the intrinsic nature of privacy, namely, privacy’s subjectiveness to each individual and the contextual dependency of such preferences. The main goal of this thesis is to improve the state-of-the-art in privacy for mobile devices through personalized and context-aware automation. Towards this end, we start by performing a field study to collect permission decisions, their surrounding context and respective user expectations, a dataset that we make available to the community. This data shows the ineffectiveness of current permission managers based on runtime permissions, as this would have resulted in a violation of privacy for 15% of requests. Additionally, almost 50% of requests were unexpected to users, thus highlighting a strong misalignment between apps’ practices and user expectations. Furthermore, privacy decisions see the strongest correlation with user expectation, however, both the expectation and its importance in the decision is subjective to each individual. Using the collected data, we train personalized and context-aware models for the prediction of privacy decisions by taking into consideration user expectation and the context of the user and of the phone. Our best model achieves an Area Under the Receiving Operation Curve (ROC AUC) of 0.957 and an F1 score of 0.924. Furthermore, such model reduces the number of privacy violations by 59.5%, when compared to a standard Android handset. Without user expectation, we achieve a ROC AUC of 0.898 and an F1 score of 0.886, a model that reduces the privacy violations by 27.9%. Another crucial drawback of existing permission managers is the limited control over the trade-off between privacy and utility. Specifically, the binary option of allowing or denying permissions corresponds to extreme situations where the user either has maximum utility and no privacy, or maximum privacy and no utility, respectively. Obfuscation can be added to the permission manager to provide users with a fine-grained control over this trade-off. Two challenges arise in this subject: obfuscation techniques are data type dependent, and therefore different techniques would be required for each sensitive permission; tuning the obfuscation mechanism for each situation at each permission request, or using static configurations could result in ineffective privacy and/or utility depending on each situation/context. Focusing on location data, a prevalent and sensitive type of data in mobile devices, we performed an empirical evaluation on the effect of varying frequency of reports on location privacy mechanisms based on differential privacy, the de facto privacy standard. This empirical study reveals that under sporadic release of location data, reports can be considered independent. However, under continuous location sharing, correlations between successive reports degrade the user privacy, thus requiring Location Privacy-Preserving Mechanisms (LPPMs) that take this aspect into consideration. Another finding from this study is that a poorly configured LPPM can result in no effective privacy. These two results served as motivation to propose a novel formal notion for the continuous release of location data based on differential privacy and termed Velocity-Aware Geo-Indistinguishability (VA-GI). A VA-GI LPPM is presented that automatically adjusts for privacy or utility depending on the velocity of the user and frequency of reports. This automated adjustment is essential for the integration of such mechanism in a permission manager, while requiring minimal interaction from the user, e.g., for tuning parameters. Furthermore, this proposal simplifies its configuration by requiring only two user-set parameters, the privacy budget and a multiplier, and allows for the personalization of the LPPM by using data from a specific driver or from all drivers in a particular area, thus enabling personalization from a fine-grained user-level up to more general region-level (e.g. city or district). Our empirical simulations with real data show the effectiveness of the VA-GI LPPM in automatically adjusting the privacy and utility, in fact outperforming existing differentially private LPPMs.

A adoção em massa de dispositivos móveis inteligentes e o paradigma da conectividade permanente levaram ao desenvolvimento de aplicações que oferecem serviços personalizados com base em informação que recolhem sobre o contexto do utilizador (p.e. localização). Este paradigma facilitou o quotidiano dos utilizadores através de serviços como navegação e identificação de pontos de interesse, bem como ao ajudar a quebrar barreiras linguísticas, entre outros. No entanto, uma quantidade significativa de informação é enviada para os fornecedores destes serviços, parte da qual pode ser considerada privada e sensível. Além disso, os utilizadores têm, em geral, um controlo limitado sobre os seus dados após estes serem recolhidos. Para preservar a privacidade dos utilizadores antes de os dados serem enviados para os fornecedores de serviços, os dispositivos móveis possuem gestores de permissões que permitem ao utilizador controlar o acesso das aplicações aos recursos e dados sensíveis. No entanto, os gestores de privacidade atuais são pouco eficazes a proteger e a notificar os utilizadores sobre os potenciais riscos de privacidade. Existe um elevado número de permissões que são automaticamente concedidas, em particular, após terem sido autorizadas uma primeira vez pelo utilizador, as aplicações podem, em geral, aceder ao mesmo recurso a qualquer momento, sem consentimento ou mesmo perceção por parte do utilizador. Estas permissões automaticamente concedidas podem violar as preferências dos utilizadores, contradizendo as suas expectativas que podem variar de acordo com o contexto de utilização. A automação dos gestores de permissões é fulcral, uma vez que o elevado número de aplicações instaladas e respetivas permissões torna a sua gestão individual inviável, caso o utilizador tivesse que responder manualmente a todos os pedidos, o que teria como consequência a dessensibilização do utilizador para com os avisos de privacidade. Desta forma, a automação destes sistemas deve ser inteligente, garantindo que as características intrínsecas à noção de privacidade sejam respeitadas, nomeadamente, a sua subjetividade em relação a cada indivíduo e a sua dependência do contexto. O objetivo principal desta dissertação é melhorar o estado-da-arte da privacidade em dispositivos móveis, através de automação personalizada e ciente do contexto. Para tal, começámos por realizar uma campanha de recolha de dados para coletar informação acerca das decisões de acesso a permissões pelos utilizadores, bem como o respetivo contexto e as expectativas dos utilizadores. Devido à inexistência de um dataset público semelhante, disponibilizamos os dados recolhidos à comunidade científica. O nosso dataset demonstra a ineficácia dos atuais gestores de permissões baseados em runtime, i.e. que concede permissões às aplicações da primeira vez que são pedidas, mantendo-as para futuras utilizações. Este modo de gestão de permissões que é o gestor predefinido do Android resulta numa violação da privacidade em 15% das permissões respondidas pelos nossos participantes. Além disso, quase 50% de todos os pedidos de permissões foram considerados como inesperados pelos utilizadores, evidenciando uma forte divergência entre as práticas das aplicações e as expetativas do utilizador. Adicionalmente, a feature da expectativa do utilizador foi identificada como aquela com a maior correlação com as decisões de privacidade dos utilizadores, realçando a sua importância nas decisões de privacidade adotadas. No entanto, tanto a expectativa como a sua importância para a decisão foi identificada como sendo subjetiva a cada indivíduo. Com os dados recolhidos, treinámos modelos personalizados e cientes do contexto para previsão das decisões de privacidade (aceitar ou rejeitar acesso às permissões), tendo em consideração features de expectativa e contexto do utilizador, bem como do contexto do dispositivo. O nosso melhor modelo de predição atinge um área abaixo da curva Receiver Operator Characteristic (ROC AUC) de 0.957 e um F1 score de 0.924. Mais ainda, este modelo reduz a quantidade de violações de privacidade em 59.5% em comparação com o gestor de permissões predefinido do Android baseado em permissões em runtime. Sem utilização da feature da expectativa (que requer input do utilizador), o modelo atinge ainda assim uma ROC AUC de 0.898, um F1 score de 0.886 e uma redução no número de violações de privacidade de 27.9%. Outra importante limitação dos gestores de privacidade existentes é o controlo limitado sobre o compromisso entre a privacidade e a utilidade. Especificamente, a opção binária de permitir ou negar permissões corresponde aos extremos onde o utilizador tem máxima utilidade e nenhuma privacidade, ou máxima privacidade e nenhuma utilidade, respetivamente. A ofuscação de dados é uma medida válida para possibilitar aos utilizadores um controlo mais fino sobre este balanço. Dois desafios aparecem neste contexto: as técnicas de ofuscação são tipicamente específicas a cada tipo de dados e, portanto, técnicas diferentes são necessárias para cada tipo de permissão/dados; a configuração das técnicas de ofuscação para cada situação/contexto pode resultar num nível de proteção da privacidade ou num ajuste da utilidade, ineficazes. Focando nos dados de localização, face à sua prevalência em dispositivos móveis e à sensibilidade dos mesmos, realizámos uma avaliação empírica do efeito da variação da frequência da partilha de dados de localização na eficácia dos mecanismos de proteção de privacidade de localização baseados em privacidade diferencial, a atual noção de privacidade de informação dominante. Este estudo revelou que a independência dos dados de localização pode ser efetivamente assumida no caso da partilha esporádica. No entanto, sob a partilha contínua da localização, a correlação entre localizações sucessivas degrada a privacidade do utilizador, requerendo assim mecanismos de preservação da privacidade de localização (LPPMs) que tenham em conta essa mesma correlação. A análise demonstrou ainda que uma inadequada configuração de um LPPM pode resultar numa perda significativa do nível de privacidade. Estes dois resultados serviram de motivação para a proposta de um nova noção formal de privacidade para a partilha contínua de dados de localização, baseada em privacidade diferencial, designada Velocity-Aware Geo-Indistinguishability (VA-GI). Com base na análise referida, foi então desenvolvido o novo LPPM VA-GI que ajusta automaticamente o nível de privacidade ou utilidade em função da velocidade do utilizador e da frequência da partilha de dados de localização. Este ajuste automático é essencial para a integração de um LPPM num gestor de privacidade, para que a interação requerida ao utilizador, por exemplo para o ajuste de parâmetros, seja mínima. Para além disso, esta proposta simplifica a configuração do LPPM, requerendo apenas dois parâmetros: o orçamento de privacidade e um multiplicador, que servem para definir os limites máximos e mínimos do nível de privacidade e utilidade. Este LPPM permite ainda a personalização do mecanismo através do uso de dados de um único condutor ou de todos os condutores de uma dada área geográfica (por exemplo, uma cidade ou distrito). A avaliação com trajetórias reais demonstra a eficácia do VA-GI LPPM no ajuste automático dos níveis de privacidade e utilidade, resultando num desempenho superior face a outros LPPMs baseados em privacidade diferencial.