Usable Security. Android Permissions User Attention, Comprehension, and Behaviour Δήμος Ιωάννου dimosioannouatgmail.com OR dioann08atcs.ucy.ac.

Transcript

1 Usable Security Τίτλος Επικοινωνία Android Permissions User Attention, Comprehension, and Behaviour Δήμος Ιωάννου dimosioannouatgmail.com OR dioann08atcs.ucy.ac.cy Το Usable Security μεταφράζετε σαν χρηστική ασφάλεια. Όμως προτιμώ να το ορίζω σαν η ασφάλεια προερχόμενη από τον χρήστη διότι ο χρήστης θα λάβει κάποιες αποφάσεις για την ασφάλεια του, οι οποίες είτε θα την αυξήσουν είτε θα την μειώσουν. Το πρώτο άρθρο «Android Permissions User Attention, Comprehension, and Behaviour» μελετά τα permissions στα Android, την προσοχή του χρήστη σε αυτά, την κατανόηση από αυτόν και την συμπεριφορά του χρήση. Το άρθρο είναι του 2012 έτσι πολλές από τις εισηγήσεις αλλά και ανοικτά ζητήματα που αναφέρουν οι ερευνητές έχουν ήδη εφαρμοστεί ή δεν υφίστανται πλέον. Όπως βλέπουμε και στην εικόνα μια εφαρμογή ζητά πρόσβαση στους πόρους του κινητού. Τα permissions στα Android έχουν ως σκοπό να ενημερώσουν τους χρήστες για τα ρίσκα του να εγκαταστήσουν κάποια εφαρμογή. Κατά την διάρκεια της εγκατάστασης ο χρήστης βλέπει τα permissions. Τα permissions εμφανίζονται μόνο κατά την διάρκεια της εγκατάστασης και ο χρήστης δεν τα ξαναβλέπει μπροστά του εκτός και αν τα ψάξει ο ίδιος. Αν θεωρήσει ότι είναι υπερβολικά ή και απαράδεκτα μπορεί να ακυρώσει την εγκατάσταση της εφαρμογής. Τότε ο χρήστης έπρεπε να αποδεχτεί όλα τα permissions που ζητά η εφαρμογή ή να μην την κατεβάσει, δηλαδή όλα ή τίποτα. Η παρούσα έρευνα, ερευνά αν τα permissions στα Android είναι αποτελεσματικά στην ενημέρωση των χρηστών. Γίνεται αξιολόγηση των χρηστών Android στο αν προσέχουν τα permissions, τα κατανοούν και πως ενεργούν αναλόγως τον πληροφοριών που παίρνουν από τα permissions. 1

2 Wogalter s Communication-Human Information Processing (C-HIP) model Για την έρευνα χρησιμοποιήθηκε το μοντέλο του Wogalter. Το μοντέλο του Wogalter δεν έχει να κάνει με την Πληροφορική αλλά γενικά το πως επεξεργάζεται ο άνθρωπος μια πληροφορία από την στιγμή που την προσέχει μέχρι να λάβει κάποιες αποφάσεις. Όπως βλέπουμε στην εικόνα υπάρχουν 5 στάδια. Που για την παρούσα έρευνα αφορούν τα πιο κάτω: Attention switch and maintenance: Προσέχει ο χρήστης τα permissions, δηλαδή του τραβούν την προσοχή; Επίσης ο χρήσης πρέπει να συγκεντρωθεί στα permissions και όχι στην εγκατάσταση. Comprehension and memory: Κατανοεί ο χρήσης τα permissions; Ξέρει σε τι κινδύνους αντιστοιχεί το κάθε permission; Attitudes and belief: Πιστεύει ο χρήστης ότι τα permissions είναι ακριβή; Δηλαδή εκφράζουν ακριβώς τους κινδύνους; Εμπιστεύονται το permission system; Motivation: Έχουν κάποιο κίνητρο να προσέξουν τα permissions; Ενδιαφέρονται για την ασφάλεια τους; Behavior: Και τέλος η συμπεριφορά του χρήση. Έχουν τα permissions επηρεάσει την συμπεριφορά των χρηστών; Στην περίπτωση μας αν έχει ακυρώσει μια εγκατάσταση εξαιτίας των permissions. Αποτυχία σε κάποιο από τα 4 πρώτα στάδια σημαίνει αποτυχία σε όλο το μοντέλο. Πχ αν δεν προσέξεις τα permissions (Attention) τότε δεν έχει νόημα να μελετήσω αν τα κατανοείς αφού δεν τα βλέπεις. (Για αυτό στην έρευνα μελετούν μόνο τα πρώτα 2 στάδια, την Προσοχή και την Κατανόηση, διότι τα αποτελέσματα είναι τραγικά ) Για την συγκεκριμένη μελέτη έγιναν 2 έρευνες. Ένα διαδικτυακό ερωτηματολόγιο με 308 άτομα και εργαστηριακή παρατήρηση 25 χρηστών Android. Η εργαστηριακή παρατήρηση έγινε για να επιβεβαιώσουν το διαδικτυακό ερωτηματολόγιο. 2

3 Το διαδικτυακό ερωτηματολόγιο αποτελείτο από 9 ερωτήσεις πέρα από τα δημογραφικά στοιχεία. 3 γενικές ερωτήσεις σχετικά με το Android, πόσο καιρό έχουν Android τηλέφωνο, από που κατεβάσουν τις εφαρμογές τους και τι λαμβάνουν υπόψιν τους όταν τις κατεβάζουν. 3 ερωτήσεις τύπου Westin. Αυτές οι ερωτήσεις γίνονται για να κατατάξουν τους χρήστες σε κατηγορίες σχετικά με το πόσο σοβαρά λαμβάνουν υπόψιν τους την ασφάλεια και ιδιωτικότητα τους. Οι κατηγορίες είναι οι πιο κάτω: Privacy Fundamentalists: Οι υπερβολικοί με την ασφάλεια τους Privacy Pragmatists: Οι ρεαλιστές σχετικά με την ασφάλεια Privacy Unconcerned: Αυτοί που δεν του ενδιαφέρει η ασφάλεια (Ο σκοπός των Westin ερωτήσεων δεν μας απασχολεί ιδιαίτερα γιατί θέλουν να δουν αν πχ οι υπερβολικοί με την ασφάλεια προσέχουν περισσότερο τα permissions σε σχέση με τους άλλους) Οι τελευταίες 3 ερωτήσεις που είναι και οι πιο σημαντικές για εμάς είναι ερωτήσεις που αφορούν κάποιο permission και εξετάζουν την κατανόηση του χρήση σχετικά με αυτά όπως φαίνεται στην εικόνα. Ο χρήστης απαντά σε 3 τυχαίες ερωτήσεις από ένα σύνολο 11 ερωτήσεων που φαίνονται στην επόμενη σελίδα. Ο χρήστης μπορεί να επιλέξει περισσότερες από μια απαντήσεις. Στην επόμενη σελίδα μπορούμε να δούμε πιο permission αφορά η ερώτηση, πόσοι χρήστες απάντησαν κάθε ερώτηση (n) και πόσοι επέλεξαν την κάθε απάντηση ανά ερώτηση. Καθώς και ποιες απαντήσεις είναι οι σωστές. 3

4 4

5 Η εργαστηριακή παρατήρηση έγινε με το να παρατηρήσουν αλλά και να συνομιλήσουν με 25 άτομα. Τα στάδια που ακολούθησαν ήτο τα πιο κάτω: Γενικές ερωτήσεις για την χρήση Android όπως και οι 3 πρώτες ερωτήσεις για το διαδικτυακό ερωτηματολόγιο. Να κατεβάσουν δυο εφαρμογές από το Android Market, η μια για να δείξουν ότι ξέρουν να χρησιμοποιούν το Android τηλέφωνο και η άλλη εφαρμογή από τους ερευνητές για να τους παρατηρήσουν Οι Westin Index ερωτήσεις που αναφέραμε και προηγουμένως Σε μια εφαρμογή στο κινητό τους, που χρησιμοποίησαν πρόσφατα, να εξηγήσουν τα permissions, για να δουν οι ερευνητές την κατανόηση των χρηστών στα permissions (όπως φαίνεται στην εικόνα) Αν στο παρελθόν διάβασαν τα permissions ή αν ακύρωσαν κάποια εγκατάσταση λόγω αυτών 5

6 Αποτελέσματα Προσοχή κατά την εγκατάσταση (Attention during installation) Στην ερώτηση The last time you downloaded an Android application, what did you look at before deciding to download it? από τις πιο κάτω απαντήσεις «Market reviews, Internet reviews, screenshots, and permissions» Στο Internet Survey από τα 308 άτομα τα 17,5% είδαν τα permissions ενώ στο Laboratory Study από τα 24 άτομα τα 17% (4) είδαν τα permissions τα 42% (10) Δεν τα είδαν αλλά είναι ενήμεροι για αυτά τα 42% (10) Δεν ήταν ενήμεροι για τα permissions Σχόλια από τους συμμετέχοντες ήταν ότι «Πρόσεχαν τα permissions αλλά όχι πλέον διότι όλες οι εφαρμογές έχουν permissions και πλέον είναι κουραστικό» Στην ίδια ερώτηση στο Internet Survey από τους 308 το 71% (219) δήλωσαν ότι διάβασαν τις κριτικές ενώ στο Laboratory Study από τους 25 το 88% (22) διάβασαν τις κριτικές. Και όπως βλέπουμε στην εικόνα οι κριτικές είναι πολύ σημαντικές για τους χρήστες. Σχόλια από τους συμμετέχοντες ήταν ότι «Αν μια εφαρμογή είναι καλή ή κακή θα το γράψουν στις κριτικές, Είναι μια παράμετρος που λαμβάνουν υπόψη» Επίσης σύμφωνα με τους χρήστες οι κριτικές είναι σημαντικές για τους χρήστες που δεν κατανοούν τα permissions διότι κάποιος που ξέρει καλά από permissions θα το γράψει στην κριτική αν κάτι δεν είναι καλό. 6

7 Κατανόηση των Permissions (Comprehension of Permissions) Όπως είπαμε, στο Διαδικτυακό ερωτηματολόγιο η κατανόηση μετρήθηκε από τις απαντήσεις των χρηστών στις 3 τυχαίες ερωτήσεις από αυτές στην σελίδα 4. Ενώ στην Εργαστηριακή Παρατήρηση έγινε με το να εξηγήσουν οι συμμετέχοντες τα permissions σε μια εφαρμογή που χρησιμοποίησαν πρόσφατα. Στο Internet Survey από τα 302 άτομα: Μόνο το 2,6% (8) απάντησαν σωστά και τις 3 ερωτήσεις Δεν παίζει ρόλο το πόσο καιρό έχει το Android κινητό ο χρήστης Οι νέοι κατανοούν καλύτερα σε σχέση με τους μεγαλύτερους Αυτοί που δήλωσαν ότι βλέπουν τα permissions τα κατανοούν καλύτερα σε σχέση με αυτούς που δεν τα βλέπουν (30% vs 18%), ίσως μπορούμε να πούμε ότι αν δεν τα κατανοείς τότες δεν έχεις λόγο να τα δεις. Αυτοί που χρησιμοποιούν το official Android Market κατανοούν τα permissions καλύτερα από αυτούς που χρησιμοποιούν unofficial stores (22% vs 4,5%) Το 21% των 906 ερωτήσεων ήταν σωστές, στην εικόνα βλέπουμε αναλυτικά τα ποσοστά των σωστών απαντήσεων ανά ερώτηση Γενικά κατανοούν την περιγραφή του permission αλλά λανθασμένα πιστεύουν ότι είναι πιο συγκεκριμένο ή πιο γενικό Προσέχουν την επικεφαλίδα, όπως βλέπουμε και στην εικόνα, στο «Services that cost you money» ο χρήστης δεν διαβάζει την από κάτω γραμμή, δηλαδή το «directly call phone numbers» και έτσι λανθασμένα επιλέγει «charge purchases to your credit card» μία από τις επιλογές στην ερώτηση για Call Phone στην σελίδα 4. 7

8 Για την εργαστηριακή παρατήρηση 25 ατόμων για την κατανόηση, όπως είπαμε, έγινε με το να έγινε με το να εξηγήσουν οι συμμετέχοντες τα permissions σε μια εφαρμογή που χρησιμοποίησαν πρόσφατα. 1-5 Επίπεδα ορθότητας Μέσος όρος κατανόησης ήταν 39% Δεν κατανοούν τις τεχνικές λεπτομέρειες Περισσότερη έμφαση στην επικεφαλίδα της κατηγορίας όπως είπαμε και προηγουμένως Επίσης η έρευνα έδειξε ότι οι συμμετέχοντες κατανοούν καλύτερα τα permissions που αφορούν γενικές έννοιες των υπολογιστών, όπως το Internet, Write external storage και wake lock, όπως φαίνεται στην πιο κάτω εικόνα: Επίσης ρώτησαν τους χρήστες αν η εφαρμογή τους μπορεί να στείλει μήνυμα. Μόνο το 36% δηλαδή 9 άτομα απάντησαν σωστά Κάποιος χρήστης δεν ήξερε ότι η εφαρμογή μπορούσε να στείλει μήνυμα χωρίς την άδεια του, ασχέτως των permissions 8

9 Η Συμπεριφορά των χρηστών (User Behavior) Στην ερώτηση Have you ever not installed an app because of permissions? Στο Internet Survey 307 ατόμων το 56.7% σταμάτησε την εγκατάσταση μιας εφαρμογής είτε γιατί δεν τους άρεσαν τα permissions είτε γιατί ήταν πολλά, όπως βλέπουμε και στην εικόνα. Για την ίδια ερώτηση στο Laboratory Study 25 ατόμων μόνο το 20% με 25% των συμμετεχόντων σταμάτησε την εγκατάσταση. Συμπεράσματα Γενικά οι χρήστες δεν προσέχουν τα permissions ή δεν τα κατανοούν Δεν είναι ενήμεροι ότι τα permissions βρίσκονται στο Android Market Η παρούσα σχεδίαση του Android Permission System δεν βοηθά τους χρήστες να πάρουν καλές αποφάσεις για την ασφάλεια τους Είναι αποτελεσματικό στο 20% των χρηστών, οι οποίοι μπορούν να γράψουν κριτικές και έτσι να προστατεύσουν άλλους χρήστες οι οποίοι δεν κατανοούν τα permissions 9

10 Εισηγήσεις των ερευνητών Επικεφαλίδες Κατηγοριών: Όπως είπαμε οι επικεφαλίδες των κατηγοριών μπερδεύουν τους χρήστες οι οποίοι υπερεκτιμούν τον σκοπό και τους κινδύνους των permissions. Έτσι οι ερευνητές εισηγούνται Επανασχεδιασμό Αναδιοργάνωση και Μετονομασία των επικεφαλίδων. Risks, Not Resources: Όπως αναφέραμε οι χρήστες δεν μπορούν να συνδέσουν τα permissions με τους κινδύνους. Έτσι οι ερευνητές εισηγούνται να αναφέρονται οι κίνδυνοι και όχι οι πόροι που ζητούν οι εφαρμογές. Low-Risk Warnings: Υπάρχουν πολλά και αχρείαστα permissions, τα οποία είναι ακίνδυνα. Τα οποία όμως κουράζουν τον χρήστη, με αποτέλεσμα να αρχίζει να αγνοεί τα permissions, ακόμη και τα σημαντικά. Έτσι οι ερευνητές εισηγούνται τα ακίνδυνα permissions να μην εμφανίζονται στο χρήστη. Absent Permissions: Ένας χρήστης δεν μπορεί να πει με βεβαιότητα ότι ένα permission δεν περιλαμβάνει ένα προνόμιο εκτός και αν γνωρίζει ότι υπάρχει ένα άλλο permission το οποίο δίνει το προνόμιο ή δεν υπάρχει τέτοιο permission που να επιτρέπει την ενέργεια. Ακόμη και κάποιος που έχει τις σχετικές γνώσεις είναι δύσκολο να θυμάται δεκάδες permissions και τι αφορά το καθένα. Έτσι οι ερευνητές εισηγούνται μείωση των permissions σε ένα μικρό σύνολο έτσι ώστε οι χρήστες να μπορούν να διαβάσουν αλλά και να θυμούνται με ακρίβεια τα permissions. 10

11 Optional Permissions: Όπως είπαμε, τότε, για να κατεβάσεις μια εφαρμογή πρέπει να δεχτείς όλα τα permissions ή να μην κατεβάσεις την εφαρμογή. Όλα ή τίποτα. Έτσι οι ερευνητές εισηγούνται να μπορεί ο χρήστης ξεχωριστά να αποδέχεται ή να απορρίπτει κάποια permissions όμως πρέπει πρώτα να κατανοήσουν τα permissions. Από ότι ξέρω αυτό πλέων ισχύει, μπορείς να κατεβάσεις την εφαρμογή χωρίς να αποδεχτείς τα permissions αλλά για να την χρησιμοποιήσεις χρειάζεται να τα αποδεχτείς, τουλάχιστον τα βασικά. Ανοιχτά Ζητήματα Timing: Όπως είπαμε τα permissions εμφανίζονται μόνο κατά την διάρκεια της εγκατάστασης και ο χρήστης δεν τα ξαναβλέπει μπροστά του εκτός και αν τα ψάξει ο ίδιος. Αυτό σημαίνει ότι ο χρήστης δεν ξέρει σίγουρα τι αφορούν αυτά καθώς και ότι για να κατεβάσει την εφαρμογή πρέπει να τα δεχτεί όλα. Αν όμως τα εμφανίζουμε κατά την διάρκεια που τρέχει η εφαρμογή, ναι μεν θα ξέρει τι αφορούν αλλά από την στιγμή που χρησιμοποιεί την εφαρμογή, σημαίνει ότι θέλει να κάνει κάτι, έτσι το να του εμφανίζουμε μηνύματα την ώρα που τρέχει η εφαρμογή των κάνουμε να πατά συνέχεια ΟΚ με σκοπό να κάνει την δουλειά του χωρίς να διαβάζει τα permissions και έτσι δεν κερδίζουμε κάτι. Έτσι οι ερευνητές εισηγούνται τα λεγόμενα access-control gadgets, δηλαδή την ώρα που η εφαρμογή θα θέλει να χρησιμοποιήσει ένα πόρο του κινητού θα ρωτά τον χρήση. Πχ «Η εφαρμογή Χ θέλει να έχει πρόσβαση στην κάμερα σου» ίσως να θυμάται την επιλογή ή ίσως να τον ρωτά κάθε φορά. Reviews: Όπως είδαμε στην παρούσα έρευνα οι χρήστες λαμβάνουν υπόψιν τους τις κριτικές για μια εφαρμογή. Περισσότερο ακόμη και από τα permissions. Όπου έμπειροι χρήστες γράφουν κριτικές οι οποίες είναι χρήσιμες για τους χρήστες που δεν κατανοούν τα permissions. Έτσι οι ερευνητές εισηγούνται να βρούμε τρόπους έτσι το σύστημα να υποστηρίζει τις κριτικές, να παρέχουμε κίνητρο στους χρήστες να γράφουν κριτικές. Πως να βοηθήσουμε τους ενδιαφερόμενους χρήστες να καταλάβουν 11

12 τι κάνουν τα permissions για να γράψουν χρήσιμες κριτικές καθώς και αυτοί που διαβάζουν τις κριτικές να τις επαληθεύουν. Customization: Διαφορετικοί χρήστες έχουν διαφορετικές ανησυχίες σχετικά με την ιδιωτικότητα και την ασφάλεια. Αν μπορούσαμε να βρούμε ένα τρόπο να εμφανίζουμε στον χρήστη τα permissions που τον αφορούν. Αυτό φυσικά πρέπει να γίνει χωρίς την χρήση κάποιων ερωτηματολογίων αλλά με κάποιο είδος Τεχνητής Νοημοσύνης που θα μαθαίνει από την συμπεριφορά του χρήστη είτε από χρήστες που είναι παρόμοιοι με τον συγκεκριμένο χρήστη. 12

13 Τίτλος Επικοινωνία Alice in Warningland: A Large-Scale Field Study of Browser Security Warning Effectiveness(2013) Δήμος Ιωάννου dimosioannouatgmail.com OR dioann08atcs.ucy.ac.cy Το δεύτερο άρθρο «Alice in Warningland: A Large-Scale Field Study of Browser Security Warning Effectiveness», όπως και το προηγούμενο μελετά την συμπεριφορά του χρήστη σε προειδοποιητικά μηνύματα. Πρόκειται για προειδοποιητικά μηνύματα στους browsers. Είναι ένα άρθρο του 2013 έτσι κάποια από τα πράγματα που αναφέρονται ίσως να μην ισχύουν πλέον. Οι ερευνητές στο άρθρο αυτό, θέλουν να μελετήσουν αν οι προειδοποιήσεις ασφαλείας των browsers είναι αποτελεσματικές στο να προειδοποιούν τους χρήστες αλλά και να τους βοηθούν να λαμβάνουν τις σωστές αποφάσεις σχετικά με την ασφάλεια τους. Οι ερευνητές εξετάζουν τις προειδοποιήσεις σχετικά με τα Malware, το Phishing και το Secure Sockets Layer (SSL/TLS) για το Google Chrome και τον Mozilla Firefox. Το Malware είναι γενικός όρος για κακόβουλο λογισμικό που προσπαθεί να βλάψει τον υπολογιστή του χρήστη. Όταν μια ιστοσελίδα περιέχει τέτοιου είδους κακόβουλο λογισμικό ή Προσπαθεί να εγκαταστήσει κακόβουλο λογισμικό στον υπολογιστή του χρήση ο browser πρέπει να βγάζει τα μηνύματα που βλέπουμε στις εικόνες δεξιά. Το Phishing είναι η κλοπή ευαίσθητων πληροφοριών του χρήστη. Συνήθως γίνεται με το να ξεγελάσουμε τον χρήση πως η ιστοσελίδα στην οποία βρίσκεται είναι έμπιστη. Ίσως το url της μη έμπιστης σελίδας να μοιάζει με αυτό μιας έμπιστης σελίδας. Αν ο χρήστης μπει σε μια τέτοια σελίδα πρέπει να του βγει η προειδοποίηση. Οι προειδοποιήσεις για το Malware και το Phishing είναι περίπου οι ίδιες στους 2 browsers και για αυτό τα εξετάζουμε μαζί. 13

14 Το Secure Sockets Layer (SSL/TLS) είναι ένα πρωτόκολλο που μας παρέχει ασφαλή κανάλια επικοινωνίας μεταξύ των browsers και των web servers εξασφαλίζοντας μας ασφάλεια και ιδιωτικότητα. Είναι το γνωστό λουκέτο που βλέπουμε δίπλα από το url μιας ασφαλούς σελίδας και το https όπου το s σημαίνει secure. Μια επίθεση στο SSL είναι το Man In The Middle attack (MITM). Αν μια ιστοσελίδα έχει πρόβλημα σχετικά με το SSL τότε εμφανίζονται οι πιο πάνω προειδοποιήσεις. Η έρευνα βασίστηκε πάνω σε 25,405,944 warnings in Google Chrome and Mozilla Firefox. Στον πίνακα βλέπουμε αναλυτικά τα warnings ανά τύπο και ανά browser. Οι προειδοποιήσεις λήφθηκαν με την λεγόμενη τηλεμετρία των browsers που είναι ενσωματωμένη σε αυτούς. Η τηλεμετρία είναι ένας μηχανισμός για τους browser vendors που τους επιτρέπει να συλλέγουν ψευδοανώνυμα στοιχεία από τους χρήστες για στατιστικούς λόγους αλλά και Google Chrome 6,040,082 malware warning 386,350 phishing warning 16,704,666 SSL warning Mozilla Firefox 2,163,866 malware warning 100,004 phishing warning 10,976 SSL warning για να βελτιώσουν την υπηρεσία που παρέχουν στους χρήστες. Η τηλεμετρία δεν συλλέγει προσωπικά στοιχεία για τους χρήστες. Στην περίπτωση μας συλλέγει δεδομένα για το warning, το λειτουργικό σύστημα του χρήστη και την έκδοση του browser. Στην παρούσα έρευνα μετρήσαμε το ποσοστό των προειδοποιήσεων που αγνοήθηκαν, δηλαδή οι χρήστες προχώρησαν σε επικίνδυνές σελίδες. Και τον χρόνο που ξοδεύουν οι χρήστες σε κάποιο warning. 14

15 Πως γίνεται η αναγνώριση των σελίδων που περιέχουν τους πιο πάνω κινδύνους Πρέπει να σημειώσουμε ότι η παρούσα έρευνα εξετάζει τις προειδοποιήσεις (warnings) που είναι bypassable, δηλαδή ο χρήστης μπορεί να τις αγνοήσει. Οι προαναφερόμενες 3 προειδοποιήσεις είναι full-page, ουσιαστικά αντικαθιστούν την επικίνδυνη σελίδα και προσπαθούν να αποθαρρύνουν τον χρήση από το να προχωρήσει στην επικίνδυνη σελίδα. Για τις σελίδες που περιέχουν malware ή phishing ο Google Chrome και ο Mozilla Firefox καθώς και άλλοι browsers βασίζονται στην Google Safe Browsing list. Η οποία είναι μια λίστα που περιέχει τα URL των web resources (σελίδων) που περιέχουν malware ή phishing. Αν ο χρήστης προσπαθεί να επισκεφτεί μια σελίδα, ο browser του ελέγχει αν αυτή η σελίδα βρίσκεται στην λίστα. Αν βρίσκεται τότε του βγάζει την ανάλογη προειδοποίηση. Οι Google Chrome και Mozilla Firefox συμπεριφέρονται διαφορετικά σε διάφορες περιπτώσεις. Αν μια σελίδα προσπαθεί να φορτώσει κάτι από κάποιο τρίτο (third-party resource) και αυτός βρίσκεται στην πιο πάνω λίστα τότε ο Google Chrome θα σταματήσει όλη την σελίδα και θα μας δώσει προειδοποίηση ενώ ο Mozilla Firefox θα μπλοκάρει το υλικό από τρίτο χωρίς προειδοποίηση και θα μπορούμε να συνεχίσουμε στην σελίδα. Έτσι οι χρήστες του Mozilla Firefox βλέπουν λιγότερες προειδοποιήσεις από τους χρήστες του Google Chrome. Για το SSL βασιζόμαστε στα πιστοποιητικά (certificates). Αν το πιστοποιητικό έχει κάποιο πρόβλημα, πχ. στην περίπτωση επίθεσης MITM τότε θα βγάλει την ανάλογη προειδοποίηση. Όπως αναφέραμε και προηγουμένως οι προειδοποιήσεις είναι προσπελάσιμες (bypassable) για τον λόγο του ότι μπορεί να έχουμε ψευδώς θετικές περιπτώσεις. Πχ σελίδες που λανθασμένα έχουν οριστεί σαν malware ή phishing. Επίσης στο SSL μπορεί το πιστοποιητικό να έχει λήξει ή να υπάρχει κάποιο server misconfiguration. Τα οποία δεν αποτελούν απειλή για την ασφάλεια του χρήστης και για αυτό του δίνουμε την επιλογή να αγνοήσει την προειδοποίηση. 15

16 Αποτελέσματα Malware / Phishing warnings Καταρχήν η ερευνητές χωρίζουν τα αποτελέσματα κατά λειτουργικό σύστημα και κατά εκδόσεις (releases). Για παράδειγμα στον πίνακα 2 βλέπουμε τις εκδόσεις. Για παράδειγμα η έκδοση Dev είναι για τους developers οι οποίοι πχ. φτιάχνουν plugins και θέλουν να δουν αν αυτά δουλεύουν στην νέα έκδοση (version) και να κάνουν διορθώσεις πριν αυτή φτάσει στους απλούς ανθρώπους (stable). Για το malware, το 7.2% και το 23.2% των προειδοποιήσεων αγνοήθηκαν στον Mozilla Firefox και στον Google Chrome αντίστοιχα. Για το phishing το ποσοστό είναι 9.1% και 18.0% αντίστοιχα. Στον πίνακα 1 βλέπουμε ότι οι χρήστες των Linux αγνοούν περισσότερο από τους άλλους τις προειδοποιήσεις σχετικά με malware στο Firefox και τις προειδοποιήσεις σχετικά με phishing στο Firefox και στον Chrome. Ενώ τις προειδοποιήσεις σχετικά με το malware στο Chrome τις αγνοούν περισσότερο οι χρήστες των Windows. Μερικά σχόλια των ερευνητών ήταν ότι οι χρήστες των Linux και οι χρήστες που λαμβάνουν τις ανεπίσημες (pre-release) εκδόσεις, θα μπορούσαμε να τους χαρακτηρίσουμε σαν χρήστες με τεχνικές γνώσεις. Αυτοί οι χρήστες δεν ενδιαφέρονται πολύ για την ασφάλεια τους, ίσως γιατί έχουν εμπιστοσύνη στο antivirus τους είτε γιατί ως γνώστες του αντικειμένου είναι περίεργοι να μάθουν τι περιέχει μια σελίδα ώστε να κατηγοριοποιηθεί σαν επικίνδυνη. Επίσης η γραφική προειδοποίηση του Firefox με τον αστυνομικό ίσως είναι πιο αποτρεπτική από αυτή του Chrome. 16

17 Αποτελέσματα SSL warnings Όπως βλέπουμε και στον πίνακα 3, οι χρήστες των Linux αγνοούν περισσότερο από τους υπόλοιπους τις προειδοποιήσεις σχετικά με το SSL στον Firefox (58.7%). Ενώ οι χρήστες των Windows αγνοούν περισσότερο τις προειδοποιήσεις σχετικά με το SSL στον Chrome (71.1%). Το πιο σημαντικό όπως βλέπουμε και στον πίνακα 4 είναι η διαφορά μεταξύ Firefox (32.2%) και Chrome (70.2%). Οι ερευνητές προσπαθούν να δώσουν κάποιους πιθανούς λόγους για αυτήν την μεγάλη διαφορά. Number of Clicks: Ένας πιθανός λόγος θα μπορούσε να είναι ο αριθμός των clicks. Όπως φαίνεται στις πιο κάτω εικόνες, στον Chrome οι χρήστες χρειάζεται να πατήσουν 1 κουμπί (Proceed anyway) για να αγνοήσουν μια προειδοποίηση ενώ στον Firefox 3 κουμπιά (I understand the risks > add exception > save exception). Όμως δεν συμβαίνει το ίδιο στην περίπτωση του malware / phishing όπου ο Chrome θέλει 2 clicks ενώ ο Firefox θέλει 1 click. Και όμως τα ποσοστά αγνόησης προειδοποιήσεων στον Chrome είναι ψηλότερα από του Firefox. Έτσι ο αριθμός των clicks δεν παίζει ουσιαστικό ρόλο. Warning Appearance: chrome mozilla 17

18 Ίσως παίζει ρόλο και το πως φαίνεται η προειδοποίηση. Όπως βλέπεται στις πιο πάνω εικόνες, ίσως η προειδοποίηση του Firefox με τον αστυνομικό να είναι πιο αποτρεπτική από αυτή του Chrome. Remembering Exceptions: Όπως αναφέραμε και προηγουμένως για να αγνοήσεις μια προειδοποίηση στον Firefox πρέπει να ορίσεις μια εξαίρεση. Ο Firefox (με το να επιλέξεις «Permanently store this exception») θυμάται την επιλογή σου και δεν σου βγάζει προειδοποίηση για την συγκεκριμένη σελίδα ξανά, ενώ ο Chrome κάθε φορά που επισκέπτεσαι την σελίδα θα βγάζει προειδοποίηση. Example. Imagine a user that encounters two websites with erroneous SSL configuration: she leaves the first after seeing a warning but visits the second website nine times despite the warning. This user would have a 50% clickthrough rate in Mozilla Firefox but a 90% clickthrough rate in Google Chrome, despite visiting the second website at the same rate. Οι ερευνητές βρήκαν ότι μόνο το 1.6% πάτησαν το Help me understand στον Chrome. Κανένας (0) δεν πάτησε το Technical Details στον Firefox. Μόνο το 3% των χρηστών πάτησε το View Certificate που φαίνεται στην εικόνα πιο πάνω. Από αυτούς που πάτησαν Add Exception στον Firefox το 14.6% πάτησαν Cancel. Το 21.3% έκαναν Untick το «Permanently store this exception» όπως φαίνεται στην εικόνα πιο πάνω. 18

19 Time Spent on SSL Warnings (Chrome) Όπως είπαμε τα SSL Warnings μπορούν να εμφανιστούν και σε server misconfiguration με αποτέλεσμα λανθασμένη προειδοποίηση και έτσι οι ερευνητές για να προσδιορίσουν αν οι χρήστες εξετάζουν/μελετούν αυτές τις προειδοποιήσεις, μετρούμε τον χρόνο που ξοδεύουν σε αυτές. Μετρούμε τον χρόνο σε σχέση με το αποτέλεσμα (Time by Outcome), δηλαδή αν έχει αγνοήσει ή όχι την προειδοποίηση και ανά τύπο μηνύματος (Time by Error Type), δηλαδή πόσο χρόνο ξοδεύει σε κάθε τύπο μηνύματος. Time by Outcome Όπως βλέπουμε και στην γραφική παράσταση το 47% των χρηστών που αγνόησαν μια προειδοποίηση έλαβαν αυτήν την απόφαση μέσα σε 1.5δευτερόλεπτα. Ενώ το 47% αυτών που σταμάτησαν έλαβαν την απόφαση σε 3.5δ. Μπορούμε να πούμε ότι όσοι αγνοούν τις προειδοποιήσεις τις μελετούν λιγότερο. Time by Error Type Όπως βλέπουμε στην δεύτερη γραφική παράσταση, βλέπουμε ότι το 49% όσων αγνόησαν προειδοποίηση σχετικά με untrusted issuer έλαβαν την απόφαση τους σε 1.7δ. To 49% όσων αγνόησαν προειδοποίηση σχετικά με name και date errors έλαβαν την απόφαση τους μέσα σε 2.2δ και 2.7δ αντίστοιχα. 19

20 Γενικά Συμπεράσματα Γενικά οι προειδοποιήσεις των browsers είναι αποτελεσματικές στο να προειδοποιούν τους χρήστες για επικίνδυνές σελίδες. Clickthrough Rates: Μόνο το 10% των προειδοποιήσεων στον Firefox για Malware και Phishing αγνοήθηκε. Το 20% - 30% των προειδοποιήσεων στον Chrome για phishing και malware και των προειδοποιήσεων στον Firefox για SSL αγνοήθηκαν. Δυστυχώς όπως είδαμε, το 70% των προειδοποιήσεων στον Google Chrome για SSL αγνοήθηκαν. User Attention Αν και η έρευνα δεν είχε να κάνει με την προσοχή και κατανόηση των χρηστών οι ερευνητές επισημάνουν ότι: Το 21.3% των χρηστών στον Mozilla Firefox έκαναν untick την επιλογή Permanently store this exception option. Υπάρχει 25% διαφορά μεταξύ clickthrough rates για untrusted issuer errors (81.8%) και expired certificate errors (57.4%) στον Google Chrome. Demographics Έχουμε δει ότι χρήστες με τεχνικές γνώσεις δεν ενδιαφέρονται πολύ για την ασφάλεια τους, ίσως γιατί έχουν εμπιστοσύνη στο antivirus τους είτε γιατί ως γνώστες του αντικειμένου είναι περίεργοι να μάθουν τι περιέχει μια σελίδα ώστε να κατηγοριοποιηθεί σαν επικίνδυνη, ειδικά αν είναι μια σελίδα την οποία είχαν επισκεφτεί χωρίς πρόβλημα προηγουμένως. Number of Clicks Είδαμε ότι ο αριθμός των clicks δεν επηρεάζει σε μεγάλο βαθμό την συμπεριφορά του χρήστη. Τα επιπρόσθετα clicks δεν είναι αποτρεπτικά και έτσι οι σχεδιαστές δεν πρέπει να βασίζονται σε αυτά για να αποτρέψουν τους χρήστες να επισκεφτούν επικίνδυνες σελίδες. Warning Fatigue Αν ένας χρήστης βλέπει συνεχώς προειδοποιήσεις τότες αρχίζει και κουράζετε. Έτσι οι ερευνητές εισηγούνται τη μείωση του αριθμού των προειδοποιήσεων που βλέπει ο χρήστης, έτσι ώστε να δίνει σημασία σε όλες τις προειδοποιήσεις. 20

21 More Information Όπως είδαμε στα αποτελέσματα, ελάχιστοι χρήστες ζητούν να μάθουν επιπρόσθετες πληροφορίες. Στα SSL warning ο Google Chrome βάζει στοιχεία για το error στο κύριο μέρος της προειδοποίησης και αυτό επηρεάζει τις αποφάσεις των χρηστών. Ενώ ο Mozilla Firefox δεν κάνει κάτι τέτοιο. Έτσι οι ερευνητές εισηγούνται να μπαίνουν και στον Mozilla Firefox κάποιες πληροφορίες για το error στο κύριο μέρος της προειδοποίησης έτσι ώστε να μειωθεί ο αριθμός των χρηστών που αγνοούν τις προειδοποιήσεις. 21