Usable Security Δήμος Ιωάννου 5/13/2018 CS682 - Advanced Security Topics 1
Android Permissions: User Attention, Comprehension, and Behavior (2012) 5/13/2018 CS682 - Advanced Security Topics 2
Android Permissions Μια εφαρμογή ζητά πρόσβαση στους πόρους του κινητού Ζητά άδεια να χρησιμοποιήσει κάποιους πόρους Ενημερώνει τους χρήστες για το ρίσκο του να κατεβάσουν μια συγκεκριμένη εφαρμογή Όλα ή τίποτα 5/13/2018 CS682 - Advanced Security Topics 3
Σκοπός Έρευνας Εξετάζει αν το Android permission system είναι αποτελεσματικό στο να προειδοποίει τους χρήστες για τις δυνατότητες των εφαρμογών που κατεβάζουν User Attention Comprehension Behavior 5/13/2018 CS682 - Advanced Security Topics 4
Wogalter Model (C-HIP) Attention switch and maintenance Προσέχουν οι χρήστες τα permissions? Συγκέντρωση στα permissions και όχι στην εγκατάσταση Comprehension and memory Κατανοεί ο χρήστης σε τι κινδύνους αντιστοιχεί κάποιο permission? Ο χρήστης πρέπει να κατανοήσει τους σκοπούς και επιπτώσεις κάποιου permission 5/13/2018 CS682 - Advanced Security Topics 5
Wogalter Model (C-HIP) Attitudes and belief Πιστεύουν οι χρήστες ότι τα permissions εκφράζουν ακριβώς τους κινδύνους? Εμπιστεύονται το permission system? Motivation Έχουν κάποιο κίνητρο να προσέξουν τα permissions? Ενδιαφέρονται για την ασφάλεια τους? Behavior Έχουν τα permissions επηρεάσει την συμπεριφορά των χρηστών? 5/13/2018 CS682 - Advanced Security Topics 6
Πως έγινε η έρευνα Internet Survey 308 άτομα Laboratory Study 25 άτομα 5/13/2018 CS682 - Advanced Security Topics 7
Internet Survey 9 Ερωτήσεις Δημογραφικά στοιχεία 3 γενικές ερωτήσεις 3 Westin index ερωτήσεις 3 τυχαίες ερωτήσεις που αφορούσαν Android permissions 5/13/2018 CS682 - Advanced Security Topics 8
5/13/2018 CS682 - Advanced Security Topics 9
5/13/2018 CS682 - Advanced Security Topics 10
5/13/2018 CS682 - Advanced Security Topics 11
Laboratory Study (Observation) Γενικές ερωτήσεις για την χρήση Android Να κατεβάσουν δυο εφαρμογές από το Android Market Westin Index ερωτήσεις Σε μια εφαρμογή στο κινητό τους να εξηγήσουν τα permissions Αν στο παρελθόν διάβασαν τα permissions ή αν ακύρωσαν κάποια εγκατάσταση λόγω αυτών 5/13/2018 CS682 - Advanced Security Topics 12
Αποτελέσματα Attention during installation Permissions Reviews Comprehension of Permissions User Behavior 5/13/2018 CS682 - Advanced Security Topics 13
The last time you downloaded an Android application, what did you look at before deciding to download it? Market reviews, Internet reviews, screenshots, and permissions Internet Survey (308) 17,5% είδαν τα permissions Laboratory Study (24) 17% (4) είδαν τα permissions 42% (10) Δεν τα είδαν αλλά είναι ενήμεροι για αυτά 42% (10) Δεν ήταν ενήμεροι για τα permissions 5/13/2018 CS682 - Advanced Security Topics 14
The last time you downloaded an Android application, what did you look at before deciding to download it? Πρόσεχαν τα permissions αλλά όχι πλέον Όλες οι εφαρμογές έχουν permissions Είναι κουραστικό 5/13/2018 CS682 - Advanced Security Topics 15
The last time you downloaded an Android application, what did you look at before deciding to download it? Internet Survey (308) 71% (219) διάβασαν τις κριτικές Laboratory Study (25) 88% (22) διάβασαν τις κριτικές 5/13/2018 CS682 - Advanced Security Topics 16
The last time you downloaded an Android application, what did you look at before deciding to download it? Αν μια εφαρμογή είναι καλή ή κακή θα το γράψουν στις κριτικές Είναι μια παράμετρος που λαμβάνουν υπόψη Οι κριτικές είναι σημαντικά για τους χρήστες που δεν κατανοούν τα permissions 5/13/2018 CS682 - Advanced Security Topics 17
Αποτελέσματα Attention during installation Permissions Reviews Comprehension of Permissions User Behavior 5/13/2018 CS682 - Advanced Security Topics 18
5/13/2018 CS682 - Advanced Security Topics 19
5/13/2018 CS682 - Advanced Security Topics 20
5/13/2018 CS682 - Advanced Security Topics 21
Κατανόηση των Permissions Internet Survey (302) 2,6% (8) απάντησαν σωστά και τις 3 ερωτήσεις Δεν παίζει ρόλο το πόσο καιρό έχει Android κινητό Οι νέοι κατανοούν καλύτερα σε σχέση με τους μεγαλύτερους Αυτοί που δήλωσαν ότι βλέπουν τα permissions τα κατανοούν καλύτερα σε σχέση με αυτούς που δεν τα βλέπουν (30% vs 18%) Αυτοί που χρησιμοποιούν το official Android Market κατανοούν τα permissions καλύτερα από αυτούς που χρησιμοποιούν unofficial stores (22% vs 4,5%) 5/13/2018 CS682 - Advanced Security Topics 22
Κατανόηση των Permissions Internet Survey (302) 21% των 906 ερωτήσεων ήταν σωστές Γενικά κατανοούν την περιγραφή αλλά λανθασμένα πιστεύουν ότι είναι πιο συγκεκριμένο ή πιο γενικό Προσέχουν την επικεφαλίδα 5/13/2018 CS682 - Advanced Security Topics 23
5/13/2018 CS682 - Advanced Security Topics 24
Κατανόηση των Permissions Laboratory Study (25) 1-5 Επίπεδα ορθότητας Μέσος όρος 39% Δεν κατανοούν τις τεχνικές λεπτομέρειες Περισσότερη έμφαση στην επικεφαλίδα της κατηγορίας 5/13/2018 CS682 - Advanced Security Topics 25
5/13/2018 CS682 - Advanced Security Topics 26
Κατανόηση των Permissions Μπορεί η εφαρμογή να στείλει μήνυμα? 36% (9) απάντησαν σωστά Δεν ήξερε ότι η εφαρμογή μπορούσε να στείλει μήνυμα χωρίς την άδεια του 5/13/2018 CS682 - Advanced Security Topics 27
Αποτελέσματα Attention during installation Permissions Reviews Comprehension of Permissions User Behavior 5/13/2018 CS682 - Advanced Security Topics 28
Have you ever not installed an app because of permissions? Internet Survey (307) 5/13/2018 CS682 - Advanced Security Topics 29
Have you ever not installed an app because of permissions? Laboratory Study (25) 5/13/2018 CS682 - Advanced Security Topics 30
Συμπεράσματα Δεν προσέχουν τα permissions ή δεν τα κατανοούν Δεν είναι ενήμεροι ότι τα permissions βρίσκονται στο Market Η παρούσα σχεδίαση του Android Permission System δεν βοηθά τους χρήστες να πάρουν καλές αποφάσεις για την ασφάλεια τους Είναι αποτελεσματικό στο 20% των χρηστών, μπορούν να γράψουν κριτικές και έτσι να προστατεύσουν άλλους χρήστες 5/13/2018 CS682 - Advanced Security Topics 31
Εισηγήσεις Επικεφαλίδες Κατηγοριών Μπερδεύουν τους χρήστες Υπερεκτιμούν τον σκοπό και τους κινδύνους Επανασχεδιασμό Αναδιοργάνωση και Μετονομασία 5/13/2018 CS682 - Advanced Security Topics 32
Εισηγήσεις Risks, Not Resources Δεν μπορούν να συνδέσουν τα permissions με τους κινδύνους Να αναφέρονται οι κίνδυνοι και όχι οι πόροι 5/13/2018 CS682 - Advanced Security Topics 33
Εισηγήσεις Low-Risk Warnings Πολλά και αχρείαστα permissions Ακίνδυνα permissions να μην εμφανίζονται στο χρήστη 5/13/2018 CS682 - Advanced Security Topics 34
Εισηγήσεις Absent Permissions Ένας χρήστης δεν μπορεί να πει με βεβαιότητα ότι ένα permission δεν περιλαμβάνει ένα προνόμιο εκτός και αν γνωρίζει ότι υπάρχει άλλο permission το οποίο δίνει το προνόμιο ή δεν υπάρχει τέτοιο permission που να επιτρέπει την ενέργεια. Μείωση των permissions σε ένα μικρό σύνολο έτσι ώστε οι χρήστες να μπορούν να διαβάσουν αλλά και να θυμούνται με ακρίβεια τα permissions 5/13/2018 CS682 - Advanced Security Topics 35
Εισηγήσεις Optional Permissions Όλα ή τίποτα Να μπορεί ο χρήστης ξεχωριστά να αποδέχεται ή να απορρίπτει κάποια permissions Όμως πρέπει πρώτα να κατανοήσουν τα permissions 5/13/2018 CS682 - Advanced Security Topics 36
Ανοιχτά Ζητήματα Timing access-control gadgets Reviews expert users sharing their concerns about permissions. Customization 5/13/2018 CS682 - Advanced Security Topics 37
Questions? 5/13/2018 CS682 - Advanced Security Topics 38