AppFlow: Putting Information Flow Control to Work

Vi låter i allt större utsträckning mjukvaruapplikationer, so kallade "appar", hantera känslig data om oss själva. Våra liv i den digitala sfären, våra banktransaktioner, var vi befinner oss, allt görs tillgängligt för tjänster och funktioner som ska förbättra vårt dagliga liv. Har vi någon kontroll över hur alla dessa appar faktiskt hanterar vår information? Svaret på den frågan är ett kraftfullt nej. Som ett exempel, låt oss titta på den reseplanerings-"app" åt kollektivtrafiksresenärer i Göteborg med omnejd som tillhandahålls av Västtrafik. För att installera denna app måste du som användare först godkänna att appen får fri tillgång till: din nätverksuppkoppling för att hämta de senaste tidtabellerna, din position för att kunna planera resor från där du befinner dig, din kalender för att lagra framtida resplaner, samt din kontaktlista så att du smidigt kan planera resor till dina bekanta. Accepterar du dessa villkor har du ingen möjlighet att se skillnad på en legitim app och en app som säljer dina kontaktuppgifter, calender och rörelsemönster till högstbjudande. Liknande problem uppstår på webben, där dagens websidor i mycket stor utsträckning förlitar sig på appar från andra utvecklare för att tillhandahålla smidiga funktioner, till exempel besöksstatistik eller delning till sociala medier. Dessa appar kan få tillgång till känslig information från din webbrowser när du besöker sidan, såsom din sökhistorik. Vad exemplen ovan visar oss är att de säkerhetsspärrar som används idag för att kontrollera appar inte klarar att hantera de krav vi ställer på användning av personlig och känslig information. Vi behöver ta hänsyn inte bara till vilken information en app kan få tillgång till, utan även hur den informationen används - så kallade informationsflöden. Forskning om informationsflöden och hur de bäst kan kontrolleras har pågått i flera decennier, och vi på Chalmers länge legat i framkant för att tackla de utmaningar detta medför. Nu är det hög tid att omsätta kunskapen och verktygen i praktiken. I detta projekt kommer vi att utveckla flera verktyg som genom att kontrollera informationsflöden kan ge mycket bättre skydd för känslig information: * Aragon - ett ramverk för att kontrollera och garantera att appar för Android-mobiler inte delar med sig av känslig information utan vår vetskap och samtycke. * HyberFlow - en uppsättning verktyg för webläsare för att som användare kunna kontrollera och begränsa informationsflöden till inbyggda appar i websidor. * JaLIO - ett programmeringsgränssnitt för utvecklare av websidor, vilket kan ge starka garantier för att begränsa känsliga informationsflöden till osäkra appar.

Participants

David Sands (contact)

Professor vid Software Technology (Chalmers)

Funding

Swedish Research Council (VR)

Funding Chalmers participation during 2015–2018

More information

Latest update

2015-11-19