Tez No İndirme Tez Künye Durumu
394555
Mobil uygulamaların güvenlik riskini analiz eden yazılım tabanlı servis tasarımı / Designing a software based service to analyze the security risks of mobile applications
Yazar:ASIM SİNAN YÜKSEL
Danışman: PROF. DR. AHMET SERTBAŞ
Yer Bilgisi: İstanbul Üniversitesi / Fen Bilimleri Enstitüsü / Bilgisayar Mühendisliği Ana Bilim Dalı
Konu:Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol = Computer Engineering and Computer Science and Control
Dizin:
Onaylandı
Doktora
Türkçe
2015
111 s.
Akıllı telefonların popülerleşmesi ve kullanımlarının yaygınlaşması ile birlikte, akıllı telefon kullanıcıları tüm işlemlerini bu cihazlarla yapar hale gelmişlerdir. Kullanıcılar, telefonlarına yükledikleri interaktif uygulamalar aracılığı ile alışveriş yapma, borç ödeme, bilgi paylaşma, çevrimiçi bankacılık gibi her türlü işlevi yerine getirebilmektedirler. Yüklenen uygulamalar; kullanıcıya ait telefon rehberi, konum bilgisi, kişisel fotoğraflar, videolar ve notlar, takvim, telefon numarası, e-posta, SMS mesajları, pil durumuna ait istatistikler gibi hassas bilgilere de erişebilmektedir. Ancak; uygulamaların güvenilir olup olmadıkları, zararlı davranış gösterip göstermedikleri, kullanıcının hangi bilgilerine erişilip erişilmediği kontrol edilmemektedir. Dolayısıyla, uygulamalar, kullanıcı isteği ile hiçbir sınırlama ve uyarı olmaksızın akıllı telefonlara yüklenebilmektedir. Bunun sonucunda, kullanıcılar kötü amaçlı uygulamaların hedefi haline gelmekte, kişisel güvenlik ve gizlilik tehlike altına girmektedir. Akıllı telefonlar üzerinde çalışan çok sayıda işletim sistemi vardır. Bunlar arasında yer alan Android işletim sistemi, her geçen gün popülerliğini ve akıllı telefon pazarındaki payını artırmaktadır. Android platformunun açık kaynak kodlu olması, uygulamaların kolay bir şekilde geliştirilebilmesi ve Google Play Uygulama Mağazası'na yüklenebilmesi bu platformu cazibe merkezi haline getirmiştir. İsteyen herkes, Android tabanlı mobil uygulamalar geliştirip uygulama mağazasına ekleyerek son kullanıcının hizmetine sunabilmektedir. Android tabanlı akıllı telefon kullanıcılarının ve uygulama geliştiricilerinin sayısının artmasına paralel olarak, bu platformdaki güvenlik riskleri ve tehditleri de diğer platformlara oranla daha fazla artmıştır ve artmaya da devam etmektedir. Çalışmamız, literatürde yapılan çalışmaların eksiklerini gidermek, Android platformundaki güvenlik ve gizlilik problemlerini kullanıcı odaklı olacak şekilde çözmek için; herhangi bir uygulamanın kullanıcı açısından ne kadar risk taşıdığını inceleyen, akıllı telefonda erişilen özellikleri tespit eden, hangi tür kişisel bilgilere erişildiğini ve kişisel gizliliğinin ne şekilde riske atıldığını ortaya koyan yazılım odaklı bir servis tasarımını ve prototipinin geliştirilmesini amaçlamaktadır. Çalışmamızda gerçekleştirdiğimiz sistem sayesinde akıllı telefonlara yüklenmek istenen mobil uygulamalar otomatik olarak analiz edilmekte, uygulamaların kullanılması halinde ortaya çıkacak güvenlik riskleri tespit edilmekte, uygulamalar için risk puanlaması yapılmakta ve risk raporları oluşturulmakta, internet ortamında da bu raporlar kullanıcıların bilgisine sunulmaktadır. Sisteme herhangi bir web tarayıcısı ile erişen kullanıcılar, internet üzerinden tüm uygulamaların risk puanlarını ve hangi risklere neden olduklarını içeren kritik bilgileri görebilecek, bu bilgileri referans alarak uygulamaları yükleyip yüklememe noktasında karar verebileceklerdir. Sonuç olarak, çalışmamızda; kullanıcıların, uygulamaları telefonlarına yüklemeden önce bilgi sahibi olmalarına imkan veren, güvenlik ve gizliliklerine karşı oluşacak tehditlerle ilgili detaylı ve anlaşılır bilgiler sunan, bulanık mantık tabanlı risk puanlama tekniği kullanan, risk analizi yaparak karar-destek mekanizması şeklinde çalışan bir servis tasarladık ve gerçekleştirdik.
The increasing popularity of the smart devices have led users to complete all of their daily work with these devices. Users are able to perform any kind of task such as shopping online, sharing information, online banking with the interactive applications that they install on their smart devices. Installed applications gain access to various sensitive information such as the user's contact list, location information, personal photos, personal videos, calendar, phone number, SMS messages, battery status. However, there is no control mechanism in place that checks whether these applications are safe to install, show malicious behavior or which user information they access to. Therefore, applications are installed according to the users' decisions, without any limitations or warnings. As a result, users become the target of malicious applications, and the personal security and privacy are compromised. There is a large number of operating systems that are used for mobile devices. Through these operating systems, Android continuously increases its popularity and market share. The open-source nature of the Android platform, the ease of application development and the submission of applications to Google Play Store have made this platform more attractive. Anyone who wants to develop Android-based mobile applications is able to submit his/her application that he/she developed to Google's application store for the end users without any problems. However, security risks and threats have increased and continue to increase more than other mobile platforms in parallel to the increase of Android based mobile phone users and developers. In order to remedy the shortcomings of current studies in the literature and resolve the security and privacy problems in Android platform with a user-focused approach, our study aims to design and develop a prototype of a software based service that analyzes how risky an application is from the user's perspective, identifies the smart device features that are used, reveals what kind of personal information is accessed and how the personal privacy is compromised. In our study, mobile applications that are desired to be installed on Android based smart devices are automatically analyzed, security and privacy risks that can be caused by installing these applications are identified, the risk scores are calculated, the risk reports are produced and presented online for the attention of users. Any user who accesses the system via a web browser can see the risk scores of the applications, the risks that can be caused by these applications and can make decisions about whether to install the applications or not by taking the risk information into account. As a result, we have designed and implemented a service that allows users to have knowledge about the applications before they install them to their smart devices, presents the users with detailed and easy to understand reports related to the threats against their privacy and security, does risk analysis and fuzzy-logic based risk scoring and will serve as a decision support mechanism.