Privacy-Preserving Mechanisms for Location Traces

Abstract

Location-Based Services are increasingly present in our daily lives. However, regardless of the benefits that these services offer to users, the shared data are not always and only used for the initial purpose. These data can be made public or sold, for example, for commercial purposes. The fact that location data contain information that can reveal the person’s identity, routines and habits, raises serious privacy concerns. In order to respond to this problem, there are privacy-preserving mechanisms, namely, for obfuscation and for anonymization of data. However, the correlation between location reports, which can potentially be used by an adversary to estimate the position of the user, has been underlooked in privacy protection. The aim of this thesis is to develop a user-centric Location Privacy-Preserving Mechanism, that is, a mechanism that protects privacy of a user at collection time. In addition, it is intended to protect the users not only against single reports, but also over time, against continuous reports. In this latter scenario, we intent to develop a protection mechanism that is suitable to different frequency of updates and/or to the correlation between reports as to mitigate possible privacy violations that advent from exploring these intrinsic characteristics of location data. Towards this end, we started by evaluating the impact of the frequency of updates on location privacy. For that, we implemented a state-of-the-art tracking attack that allows us to assess the effect of the frequency of updates by estimating the exact user locations. According to the performed analysis, we developed a new mechanism based on geo-indistinguishability that creates obfuscation clusters to aggregate closer locations. This developed mechanism is designated clustering geo-indistinguishability. To evaluate the utility of the mechanism, we resorted to a real use-case based on geofencing. Lastly, the evaluation of the mechanism enables us to conclude that it safeguards the level of privacy and the utility of continuous reports of location data, in a way that it can still be used for the purpose of a service.

Os serviços baseados em localização estão cada vez mais presentes no nosso quotidiano. No entanto, apesar do benefício que estes serviços oferecem aos utilizadores, os dados partilhados nem sempre são usados apenas com o propósito inicial. Estes dados podem ser tornados públicos ou vendidos, por exemplo, para fins comerciais. O facto dos dados de localização conterem informações passíveis de revelar a identidade, as rotinas e os hábitos de uma pessoa, levantam sérias preocupações de privacidade. Para dar resposta a este desiderato, existem mecanismos de preservação de privacidade, nomeadamente, de ofuscação e anonimização dos dados. Contudo, a correlação entre os dados de localização partilhados, que pode ser usada por um adversário para estimar a posição de um utilizador, tem sido negligenciada na proteção da privacidade. O objetivo desta tese é desenvolver um mecanismo de preservação de privacidade de localização centrado no utilizador, isto é, um mecanismo que proteja os utilizadores no momento da partilha de dados. Para além disso, pretende-se proteger o utilizador não só quando este reporta localizações únicas, mas também ao longo do tempo, isto é, quando reporta localizações de modo contínuo. Neste último cenário, pretendemos desenvolver um mecanismo de proteção que seja adequado a diferentes frequências de atualização de localização e/ou à correlação existente entre as localizações partilhadas, de modo a mitigar possíveis violações de privacidade que advenham da exploração destas características intrínsecas dos dados de localização. Neste sentido, começámos por avaliar o impacto da frequência na privacidade de localização. Para tal, implementámos um ataque considerado estado da arte que permite localizar o utilizador ao longo do tempo e do espaço, viabilizando a avaliação do efeito da frequência através da estimação da localização exata do utilizador. De acordo com a análise efetuada, desenvolvemos um mecanismo novo baseado em geo-indistinguishability que cria áreas de ofuscação para agregar localizações próximas. O mecanismo desenvolvido é designado clustering geo-indistinguisahbility. Para avaliar a utilidade do mecanismo, utilizámos um caso de uso real baseado em geofencing. Por fim, a avaliação do mecanismo permitiu-nos concluir que este salvaguarda o nível de privacidade e a utilidade dos dados, de tal modo que continuam a poder ser usados para o propósito do serviço.