Personvern og datalekkasje

Abstract

NORSK: Bacheloroppgaven omhandler personvern ved bruk av Android og applikasjoner på plattformen. Kartleggingen av personvernet på Android ble gjennomført ved å utføre analyser av utvalgte applikasjoner med et egenlagd testmiljø. Det var nødvendig å utvikle et testmiljø ettersom eksisterende verktøy ikke hadde tilfredsstillende funksjonalitet for å utføre en analyse av applikasjonene. Vi endte opp med å modifisere sslsniff for å kunne dekryptere SSL-trafikk med Wireshark. Først da kunne vi hente ut binære datastrømmer, samt analysere trafikken på en oversiktelig måte. En applikasjon ble analysert ved å koble en Android-enhet til testmiljøet vårt for å se hva som sendes ut mot Internett og til hvem mens applikasjonen brukes. Datatrafikken blir registrert i Wireshark og senere brukt som datagrunnlaget i analysen av applikasjonen. Konklusjonen på oppgaven er at alle applikasjonene, med unntak av Google Sync, sendte sensitiv informasjon fra Android-enheten uten at det var nødvendig for funksjonaliteten til applikasjonen. Det mest uskyldige var attributter som IMEI og telefonnummer, mens det mest graverende var applikasjonen Hooked som samlet informasjon om alle applikasjonene som var installert og ble startet på telefonen.

ENGELSK: This bachelor thesis have examined how the privacy is being addressed on the smartphone platform Android, when using the operating system and applications. There has been done an analysis of the operating system itself and a selection of applications, to find out if privacy sensitive information is being sent from the Android device. The analysis have been done by examining the applications data traffic, to see what it contains and to whom it is being sent. To do the analysis there has been developed a test enviroment which can capture data traffic and analyze its content. The data trafffic has mostly been encrypted and therefore the test enviroment had to be able to decrypt SSL-traffic. To decrypt the data traffic the program sslsniff was used. One of the requirements for the test enviroment was that it could get binary data streams from the decrypted traffic, but this was not currently possible with sslsniff. Therefore the program was changed to provide this functionality in the network analysis tool Wireshark. This is a unique functionality that makes SSL-traffic easy to capture for decryption and analysis inWireshark. In addition to the analysis of the data traffic, the tool TaintDroid was used. This program shows all the sensitive information that is being accessed on the device and sent onto the Internet. This data have been used together with the analysis of the data traffic, to see how the operating system and the chosen applications maintains the users privacy. The conclusion of the project is that all the analyzed applications, with the exception of Google Sync, send privacy sensitive information from the Android device and onto the Internet. The most innocent was IMEI and phone number, while the most serious was done by the application Hooked, which collected information about all the installed and every started application. All the chosen applications had legitimate purposes, and was not constructed solely for for spying or data collection. Therefore it has seemed to us that it is usual practice for applications to send away information such as IMEI and location from the device it is being run on.