論文の概要: The Medium is the Message: How Secure Messaging Apps Leak Sensitive Data to Push Notification Services
- arxiv url: http://arxiv.org/abs/2407.10589v1
- Date: Mon, 15 Jul 2024 10:13:30 GMT
- ステータス: 処理完了
- システム内更新日: 2024-07-16 15:40:56.909197
- Title: The Medium is the Message: How Secure Messaging Apps Leak Sensitive Data to Push Notification Services
- Title(参考訳): メッセージはMedium: セキュアなメッセージングアプリがプッシュ通知サービスに機密データをリークする方法
- Authors: Nikita Samarin, Alex Sanchez, Trinity Chung, Akshay Dan Bhavish Juleemun, Conor Gilsenan, Nick Merrill, Joel Reardon, Serge Egelman,
- Abstract要約: 本研究では、Androidデバイスにプッシュ通知を送信するために、セキュアメッセージングアプリのGoogleのCloud Messaging(FCM)サービスの使用について調査した。
われわれはGoogle Play Storeから人気の高い21のセキュアメッセージングアプリを分析し、FCM経由で送られたプッシュ通知のペイロードにリークする個人情報を判定した。
FCMにリークされたデータはすべて、これらのアプリのプライバシー開示で具体的には公開されていません。
- 参考スコア(独自算出の注目度): 9.547428690220618
- License: http://creativecommons.org/licenses/by-sa/4.0/
- Abstract: Like most modern software, secure messaging apps rely on third-party components to implement important app functionality. Although this practice reduces engineering costs, it also introduces the risk of inadvertent privacy breaches due to misconfiguration errors or incomplete documentation. Our research investigated secure messaging apps' usage of Google's Firebase Cloud Messaging (FCM) service to send push notifications to Android devices. We analyzed 21 popular secure messaging apps from the Google Play Store to determine what personal information these apps leak in the payload of push notifications sent via FCM. Of these apps, 11 leaked metadata, including user identifiers (10 apps), sender or recipient names (7 apps), and phone numbers (2 apps), while 4 apps leaked the actual message content. Furthermore, none of the data we observed being leaked to FCM was specifically disclosed in those apps' privacy disclosures. We also found several apps employing strategies to mitigate this privacy leakage to FCM, with varying levels of success. Of the strategies we identified, none appeared to be common, shared, or well-supported. We argue that this is fundamentally an economics problem: incentives need to be correctly aligned to motivate platforms and SDK providers to make their systems secure and private by default.
- Abstract(参考訳): ほとんどのモダンなソフトウェアと同様に、セキュアなメッセージングアプリは重要なアプリ機能を実装するためにサードパーティのコンポーネントに依存している。
このプラクティスはエンジニアリングコストを削減しますが、設定ミスや不完全なドキュメントによる不注意なプライバシー侵害のリスクも伴います。
我々の研究では、Androidデバイスにプッシュ通知を送信するために、セキュアなメッセージングアプリによるGoogleのFirebase Cloud Messaging(FCM)サービスの使用について調査した。
われわれはGoogle Play Storeから人気の高い21のセキュアメッセージングアプリを分析し、FCM経由で送られたプッシュ通知のペイロードにリークする個人情報を判定した。
これらのアプリのうち、ユーザー識別子(10アプリ)、送信者または受信者名(7アプリ)、電話番号(2アプリ)を含む11のメタデータがリークされ、4つのアプリが実際のメッセージコンテンツをリークした。
さらに、私たちがFCMにリークしたデータはすべて、これらのアプリのプライバシー開示で具体的には公開されていません。
また、このプライバシー漏洩をFCMに緩和するための戦略を駆使したいくつかのアプリが、さまざまなレベルの成功を収めていることもわかりました。
私たちが特定した戦略の中で、共通性、共有性、あるいは支持度の高いものはありませんでした。
インセンティブは、プラットフォームやSDKプロバイダをモチベーションとして、デフォルトでシステムをセキュアかつプライベートにするために、正しく整列する必要があります。
関連論文リスト
- Towards Precise Detection of Personal Information Leaks in Mobile Health Apps [1.5293427903448022]
モバイルアプリは、ユーザに要求し、次に豊富な個人情報(PI)を収集し、リークする
我々は、アプリがユーザインターフェースを介して収集するPI、アプリまたはサードパーティのコードがこの情報を処理しているかどうか、そして最後にデータが送信または保存されているかを分析します。
我々は1,243のAndroidアプリ(医療アプリ623、健康&健康アプリ621)について調査を行った。
論文 参考訳(メタデータ) (2024-09-30T23:15:05Z) - PrivacyLens: Evaluating Privacy Norm Awareness of Language Models in Action [54.11479432110771]
PrivacyLensは、プライバシに敏感な種子を表現的なヴィグネットに拡張し、さらにエージェントの軌跡に拡張するために設計された新しいフレームワークである。
プライバシの文献とクラウドソーシングされたシードに基づいて、プライバシの規範のコレクションをインスタンス化する。
GPT-4やLlama-3-70Bのような最先端のLMは、プライバシー強化の指示が出されたとしても、機密情報を25.68%、38.69%のケースでリークしている。
論文 参考訳(メタデータ) (2024-08-29T17:58:38Z) - Privacy Aware Memory Forensics [3.382960674045592]
最近の調査によると、データ漏洩の60%は、主に悪意のあるインサイダーの脅威によって引き起こされている。
本研究では,組織内のインサイダーによるデータ漏洩を検出する新しい手法を提案する。
本手法はインサイダー装置のRAMを捕捉し,ホストシステムからの機密情報漏洩を解析する。
論文 参考訳(メタデータ) (2024-06-13T11:18:49Z) - ATLAS: Automatically Detecting Discrepancies Between Privacy Policies
and Privacy Labels [2.457872341625575]
自動プライバシラベル解析システム(ATLAS)について紹介する。
ATLASは、モバイルアプリのプライバシーポリシーとプライバシーラベルの相違点を特定する。
平均して、アプリには5.32のコンプライアンス上の問題があることがわかっています。
論文 参考訳(メタデータ) (2023-05-24T05:27:22Z) - Analysis of Longitudinal Changes in Privacy Behavior of Android
Applications [79.71330613821037]
本稿では,プライバシに関して,Androidアプリが時間とともにどのように変化してきたかを検討する。
HTTPSの採用、アプリが他のインストール済みアプリのデバイスをスキャンするかどうか、プライバシに敏感なデータに対するパーミッションの使用、ユニークな識別子の使用について検討する。
アプリがアップデートを受け続けるにつれて、プライバシ関連の振る舞いは時間とともに改善され、アプリによって使用されるサードパーティライブラリが、プライバシに関するより多くの問題に責任を負っていることが分かっています。
論文 参考訳(メタデータ) (2021-12-28T16:21:31Z) - Jettisoning Junk Messaging in the Era of End-to-End Encryption: A Case
Study of WhatsApp [8.463390032361591]
インドで5K公開WhatsAppグループに送信された260万メッセージの多言語データセットでジャンクメッセージングを研究する。
10分の1近いメッセージが、ジャンク送信者から送られてくる望ましくないコンテンツであることに気付きました。
論文 参考訳(メタデータ) (2021-06-08T15:52:46Z) - Emerging App Issue Identification via Online Joint Sentiment-Topic
Tracing [66.57888248681303]
本稿では,MERITという新しい問題検出手法を提案する。
AOBSTモデルに基づいて、1つのアプリバージョンに対するユーザレビューに否定的に反映されたトピックを推測する。
Google PlayやAppleのApp Storeで人気のアプリに対する実験は、MERITの有効性を実証している。
論文 参考訳(メタデータ) (2020-08-23T06:34:05Z) - BeeTrace: A Unified Platform for Secure Contact Tracing that Breaks Data
Silos [73.84437456144994]
接触追跡は、新型コロナウイルスなどの感染症の拡散を制御する重要な方法である。
現在のソリューションでは、ビジネスデータベースや個々のデジタルデバイスに格納された大量のデータを利用できません。
データサイロを破り、プライバシーの目標を保証するために最先端の暗号化プロトコルをデプロイする統合プラットフォームであるBeeTraceを提案する。
論文 参考訳(メタデータ) (2020-07-05T10:33:45Z) - Mind the GAP: Security & Privacy Risks of Contact Tracing Apps [75.7995398006171]
GoogleとAppleは共同で,Bluetooth Low Energyを使用した分散型コントラクトトレースアプリを実装するための公開通知APIを提供している。
実世界のシナリオでは、GAP設計は(i)プロファイリングに脆弱で、(ii)偽の連絡先を生成できるリレーベースのワームホール攻撃に弱いことを実証する。
論文 参考訳(メタデータ) (2020-06-10T16:05:05Z) - Decentralized Privacy-Preserving Proximity Tracing [50.27258414960402]
DP3TはSARS-CoV-2の普及を遅らせるための技術基盤を提供する。
システムは、個人やコミュニティのプライバシーとセキュリティのリスクを最小限にすることを目的としている。
論文 参考訳(メタデータ) (2020-05-25T12:32:02Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。