Permessi dangerous in Android: problemi aperti ed insidie

Referente: Prof. Fasano Fausto

Gruppo di lavoro

  • Prof. Fausto Fasano (Università degli Studi del Molise);
  • Dott. Michele Guerra (Università degli Studi del Molise);
  • Prof. Rocco Oliveto (Università degli Studi del Molise);
  • Prof. Simone Scalabrino (Università degli Studi del Molise).

Descrizione

Negli ultimi anni il mercato dei dispositivi mobili è cresciuto enormemente: ad oggi si stima che circa 4,7 miliardi di persone in tutto il mondo possiedano almeno uno smartphone, e il numero di utenti attivi è destinato ad aumentare ancora, superando quota 5,5 miliardi al 2025. In questo panorama, Android si conferma il sistema operativo più diffuso, con un market share che supera il 70% e quasi tre milioni di applicazioni disponibili sul Play Store, che complessivamente contano decine di miliardi di download ogni anno. Vista la costante necessità da parte di queste applicazioni Android di accedere a informazioni sensibili e riservate (e non soltanto per poter realizzare le funzionalità messe a disposizione dell’utilizzatore, ma anche per studiarne il comportamento, le preferenze e le necessità), appare evidente come il meccanismo di gestione delle autorizzazioni di Android giochi un ruolo chiave nella salvaguardia della privacy dell’utente. 

Alla luce delle suddette considerazioni, questo tema di ricerca prevede la definizione e la validazione di tecniche e approcci in grado di:

  1. valutare l’efficacia dei sistemi di sicurezza messi in atto da Google per tutelare la privacy degli utenti nelle varie versioni di Android, anche per diverse tipologie di device (es: smartphone, smartwatch, TV); 
  2. effettuare l’analisi dinamica a runtime dell’utilizzo dei permessi sensibili nelle applicazioni Android per estrarre informazioni in grado di identificare comportamenti inattesi e latenti;
  3. offrire una soluzione efficiente di tutela degli utenti da potenziali violazioni della propria privacy, in cui l’attività non venga continuamente interrotta dalle richieste del sistema di autorizzazione, garantendo però un elevato grado di tempestività nei controlli; implementando, quindi, un nuovo modello di autorizzazione dei permessi a grana fine (contestualizzando quindi la richiesta di utilizzo all’effettiva funzionalità all’interno dell’applicazione) e user-centered.

Pubblicazioni

1 Guerra, M.; Milanese, R.; Oliveto, R. and Fasano, F. (2023). RPCDroid: Runtime Identification of Permission Usage Contexts in Android Applications. In Proceedings of the 9th International Conference on Information Systems Security and Privacy – ICISSP, ISBN 978-989-758-624-8; ISSN 2184-4356, SciTePress, pages 714-721. DOI: 10.5220/0011797200003405