A Threat to Operational Security - Analysing Information Disclosure to Third Parties in Apps Used by Soldiers Aged 19-22

Abstract

Den omfattende innsamlingen av brukerdata gjennom vanlige apper utgjør en økende sikkerhetsrisiko for norske soldater. Dataene selges i et marked for profitt, noe som gir potensielle fiender tilgang til sensitiv informasjon. Dette skaper trusler utover etiske, personvern-, juridiske og regulatoriske bekymringer. Økosystemet for brukerdata er komplisert, og det er vanskelig å finne ut hvem som samler hvilke data, og hvem det deles med. Flere studier har tidligere analysert apper i forsøk på å avdekke hvilke data som samles inn og deles. Imidlertid er dataens skadepotensial ennå ikke utforsket for Forsvaret.

Denne oppgaven undersøker fire apper som brukes av soldater i alderen 19 til 22 år, nemlig Eurosport, Strava, Tinder og ASKfm. Den evaluerer mengden og sens- itiviteten til data som samles inn og deles, og anvender dette i en trusselanalyse. Videre utforsker den ulike mottiltak for å minimere skadepotensialet til dataen. Op- pgaven benytter seg av en tredelt tilnærming: først en tematisk analyse av appenes personvernserklæringer, deretter en statisk analyse av applikasjonspakkene, og til slutt en dynamisk analyse som avlytter og dekrypterer nettverkstrafikken fra appene.

Analysen avdekket at de fire appene delte navn, e-postadresse, land, brukerint- eraksjoner, lokasjonsdata, logger, kjønn, alder, språk og nettverksinformasjon med tredjepartsdomener. Trusselvurderingen konkluderte videre med at flere militære ressurser er sårbare for trusler som utpressing, lokalisering og forstyrrelse som følge av denne datadelingen. Disse truslene kan påvirke sikkerheten til utvalget i denne oppgaven. Oppsummert avdekker denne oppgaven det digitale fotavtrykket til en norsk soldat i aldersgruppen 19-22 år, samt dataens skadepotensial. Den leg- ger vekt på viktigheten av å redusere disse risikoene gjennom å instruere brukere, forbedre rutiner og oppfordre til bedre lovgivning, noe som er avgjørende for beslut- ningstakere, militære ledere og alle som er opptatt av personvern og datasikkerhet.

The extensive collection of user data through common mobile apps is a growing security risk for Norwegian soldiers. The data is sold at a market for profit, making it accessible to adversaries and introducing threats beyond ethical, privacy, legal, and regulatory concerns. Furthermore, the ecosystem of user data is entangled and understanding who collects what and with whom it is shared can be difficult. Several studies have previously analysed apps to determine what data is collected and shared. However, the damage potential of the data is yet to be explored for the Norwegian Armed Forces.

This thesis examines four apps used by Norwegian soldiers between the ages of 19 and 22, namely Eurosport, Strava, Tinder and ASKfm. It evaluates the quantity and sensitivity of the data collected and shared before applying this to a threat analysis. Furthermore, it explores which countermeasures can be taken to minimise the negative potential of the data sales. This thesis adopts a three-part approach: a content analysis of the apps’ privacy policies, a static analysis of the application packages, and a dynamic analysis intercepting and decrypting the network traffic from the apps during use.

The analysis discovered that the four apps shared sensitive data such as name, email address, country, user interactions, location, logs, gender, age, language, and network information with third-party domains. The threat analysis further revealed that several military assets are vulnerable to threats such as extortion, localisation, and disruption due to this data sharing, potentially compromising the security of the subset. In summary, this thesis exposes the digital footprint of a Norwegian soldier in the age group 19-22 years and the harmful potential of the data shared. It emphasises the importance of minimising these risks by guiding users, improving routines, and advocating stronger legislation, making it crucial for policymakers, military officials, and anyone concerned with data privacy and security.