Βιβλιοθήκη ΟΠΑ - Ψηφιακό Αποθετήριο

ΠΥΞΙΔΑ Ιδρυματικό Αποθετήριο
και Ψηφιακή Βιβλιοθήκη

Όνομα χρήστη
Κωδικός πρόσβασης

Συλλογές :	Ιδρυματικό Αποθετήριο ΟΠΑ / AUEB Institutional Repository Σχολή Επιστημών και Τεχνολογίας της Πληροφορίας / School of Informatics Τμήμα Πληροφορικής / Department of Informatics Μεταπτυχιακές Εργασίες / Postgraduate dissertations

Τίτλος :	Ασφάλεια & ιδιωτικότητα στις mobile εφαρμογές: απαιτήσεις ασφάλειας, αντίληψη χρηστών, απόδοση

Δημιουργός :	Αγαλιώτη, Διονυσία

Συντελεστής :	Οικονομικό Πανεπιστήμιο Αθηνών, Τμήμα Πληροφορικής (Degree granting institution)

Τύπος :	Text

Φυσική περιγραφή :	185σ.

Γλώσσα :	el

Περίληψη :	Καθώς η τεχνολογία εξελίσσεται και οι ρυθμοί της καθημερινότητας γίνονται ολοένα και πιο πιεστικοί, η χρήση των κινητών συσκευών και κατ’ επέκταση εφαρμογών προοριζόμενων για αυτές εξακολουθεί να αυξάνεται. Η ανάγκη να είναι οι χρήστες συνεχώς συνδεδεμένοι μπορεί αφενός να βοηθά στο να γίνονται πιο αποτελεσματικοί, ωστόσο παράλληλα σε μια τέτοια κατάσταση πρέπει να γίνει σαφές το γεγονός ότι εγκυμονεί ο κίνδυνος να αντιδρούμε τόσο γρήγορα ώστε να μη δίνουμε την ίδια προσοχή στην προστασία της ασφάλειας και της ιδιωτικότητας των δεδομένων μας, όπως ίσως θα μπορούσαμε λίγα χρόνια πριν. Αυτή η ραγδαία αύξηση των mobile εφαρμογών τόσο στην καθημερινότητα των τελικών χρηστών όσο και στον εργασιακό χώρο μετατρέπεται σε μια σοβαρή και εκτεταμένη απειλή τόσο για την ασφάλεια των δεδομένων της επιχείρησης όσο και για την προστασία της ιδιωτικότητας των χρηστών. Στη σύγχρονη εποχή, η ανάπτυξη mobile εφαρμογών είναι μια πρόκληση για έναν προγραμματιστή. Ο αυξανόμενος αριθμός τόσο των κινητών συσκευών όσο και των δυνητικών εφαρμογών τους, αναγκάζουν τους προγραμματιστές να πρέπει να ξεπεράσουν τα εμπόδια της χρήσης υγιών πρακτικών. Υπάρχει ένα σημαντικό σημείο ανησυχίας που πολλοί προγραμματιστές εφαρμογών επιλέγουν να αγνοούν και αυτό είναι η ασφάλεια. Αυτό που πραγματεύεται η παρούσα εργασία είναι η σημασία του εν λόγω ζητήματος, καθώς και το τι διακυβεύεται εάν η ασφάλεια δε ληφθεί προσεκτικά υπόψη κατά την ανάπτυξη της κάθε mobile εφαρμογής. Όσον αφορά τους οργανισμούς, τα δεδομένα που κάποτε από προεπιλογή διατηρούνταν μέσα στον οργανισμό μπορεί τώρα να επικοινωνήσουν έξω από αυτόν, με πολλές συνέπειες για το πώς αυτά αντιμετωπίζονται από μεμονωμένους υπαλλήλους κάτω από ελάχιστη εποπτεία. Όσον αφορά τους χρήστες, απειλές κατά της ιδιωτικότητας ενδέχεται να προκληθούν από εφαρμογές που δεν είναι απαραίτητα κακόβουλες, αλλά συλλέγουν ή και χρησιμοποιούν περισσότερες ευαίσθητες και προσωπικές πληροφορίες από ό,τι είναι απαραίτητο για την εκτέλεση της λειτουργίας τους, χωρίς επαρκή εξήγηση για το πώς χρησιμοποιούνται οι πληροφορίες αυτές. Σκοπός της παρούσας εργασίας είναι να γίνει κατανοητή η επιτακτική ανάγκη και σημασία της ύπαρξης ασφάλειας και ιδιωτικότητας από το πρώιμο στάδιο σχεδιασμού και ανάπτυξης mobile εφαρμογών, κατά πόσο αυτό επηρεάζεται από την αντίληψη και εξοικείωση των χρηστών αναφορικά με τα παραπάνω ζητήματα και πως θα πρέπει ιδανικά να εξισορροπείται με την επιθυμητή απόδοση αλλά και χρηστικότητα των mobile εφαρμογών. Πιο αναλυτικά ακολουθεί μια προεπισκόπιση της εργασίας. Αρχικά γίνεται λόγος για τη σημασία των παραπάνω εννοιών κατά την ανάπτυξη των mobile εφαρμογών, ενώ κατόπιν, παρουσιάζεται η υπάρχουσα κατάσταση που επικρατεί στον τομέα αυτό, οι προκλήσεις αναφορικά με τα εν λόγω ζητήματα, κακές πρακτικές ανάπτυξης, στατιστικά στοιχεία και μη επιθυμητά χαρακτηριστικά των mobile εφαρμογών, όπως είναι η ανεπαρκής προστασία δεδομένων, η κακόβουλη λειτουργία, τα εκτεταμένα δικαιώματα πρόσβασης και θέματα ευπάθειας. Στη συνέχεια, αναλύονται οι λόγοι έλλειψης ασφάλειας που με τη σειρά τους οδηγούν σε όλα τα παραπάνω. Σε επόμενη ενότητα, παρουσιάζονται τα σημεία που διαφοροποιούνται οι mobile από τις παραδοσιακές εφαρμογές, με σκοπό να γίνει αποσαφήνιση των όρων και των απαιτήσεων ανάμεσα στις δύο κατηγορίες εφαρμογών. Κατανοώντας τη σημασία της ασφάλειας και ιδιωτικότητας στις mobile συσκευές και εφαρμογές καθώς και τις διαφορές μεταξύ των τελευταίων συγκριτικά με τις εφαρμογές που προορίζονται για σταθερούς υπολογιστές ή διαδίκτυο, στο τέταρτο κεφάλαιο γίνεται μια προσπάθεια παρουσίασης των απαιτήσεων ασφάλειας με βάση τις οποίες ενδείκνυται να σχεδιάζονται και να υλοποιούνται οι εφαρμογές που αναπτύσσονται και προορίζονται για mobile συσκευές, όπως smartphones και tablets. Θεωρήθηκε χρήσιμο να γίνει διαχωρισμός των εφαρμογών που υλοποιούνται για επιχειρήσεις και προορίζονται για χρήση σε mobile συσκευές (είτε εταιρικές είτε προσωπικές) και αυτών που υλοποιούνται για τους εκάστοτε τελικούς χρήστες, καθώς υπάρχουν αρκετές διαφορές στις απαιτήσεις και τις πολιτικές ασφάλειας και ιδιωτικότητας που κρίνεται απαραίτητο να τηρούνται στην κάθε κατηγορία. Παρουσιάστηκαν αναλυτικά βέλτιστες πρακτικές ανάπτυξης αναφορικά με την ασφάλεια και ιδιωτικότητα και για τις δύο περιπτώσεις με σκοπό την αποσαφήνιση παρανοήσεων και την ανάδειξη της ιδιαίτερης σημασίας τους από το πρώτο στάδιο σχεδιασμού μιας εφαρμογής έως το τελευταίο. Στην περίπτωση της ανάπτυξης mobile εφαρμογών για εταιρική χρήση, έγινε προσπάθεια να γίνει κατανοητό ότι εκτός από τους developers και οι ίδιοι οι οργανισμοί είναι εκείνοι που θα πρέπει να λάβουν απαραίτητα μέτρα και να ακολουθήσουν συγκεκριμένες διαδικασίες προκειμένου η εφαρμογή που θα αναπτυχθεί αφενός να ακολουθεί και να εναρμονίζεται με τις πολιτικές ασφάλειας της επιχείρησης και αφετέρου να μην λειτουργεί ως αδυναμία και μέσο διέρρευσης πληροφοριών για την εταιρεία. Παρουσιάστηκε εκτενώς η διαδικασία ανάπτυξης αλλά και ελέγχου και έγκρισης/απόρριψής εφαρμογών (VettingProcess) που πρέπει να ακολουθείτε από τον εκάστοτε οργανισμό. Κατόπιν, κρίθηκε σκόπιμο για την επίτευξη αποτελεσματικής και ασφαλούς ανάπτυξης mobile εφαρμογών να γίνει κατανοητή και η ιδιαίτερη σημασία της στάσης του ίδιου του χρήστη απέναντι στην ασφάλεια και την προστασία της ιδιωτικής του ζωής κατά τη χρήση κινητών συσκευών και πώς αυτή μπορεί να διαφέρει από την αντίστοιχη στάση που ενδεχομένως τηρεί απέναντι στα παραδοσιακά συστήματα υπολογιστών. Για το λόγο αυτό, στα πλαίσια του πέμπτου κεφαλαίου της παρούσας εργασίας διεξήχθη έρευνα 118 συμμετεχόντων αναφορικά με την αντίληψη και εξοικείωση των χρηστών σε θέματα ασφάλειας στις mobile εφαρμογές. Η κατανόηση της εν λόγω στάσης θα μπορούσε να οδηγήσει σε βελτιώσεις κατά το σχεδιασμό των εφαρμογών που θα επιτρέπουν στους χρήστες να επωφεληθούν από τις δυνατότητες και την ευκολία που προσφέρουν οι διάφορες πλατφόρμες εφαρμογών, χρησιμοποιώντας τις με ασφάλεια και σιγουριά. Τέλος, κατόπιν της αναλυτικής παρουσίασης όλων των παραπάνω στο έκτο κεφάλαιο εξετάζεται η επίπτωση που ενδεχομένως έχει για το χρήστη η υπερβολική ενσωμάτωση ασφάλειας στις mobile εφαρμογές και κατά πόσο μπορεί τελικά το γεγονός αυτό να δυσχεραίνει τη χρήση, την απόδοση και τη λειτουργικότητά τους. Με γνώμονα το ζήτημα αυτό προτείνονται μέθοδοι για την εξισορρόπηση της χρηστικότητας/ απόδοσης και της ασφάλειας για την προστασία των καταναλωτών, των εργαζομένων, των δικτύων και των εμπορικών σημάτων, ώστε ο χρήστης να απολαμβάνει όλες τις δυνατότητές τους με ασφάλεια. This thesis examines the importance of integrating security and privacy from the initial design and development phase of mobile applications, whether this is influenced by user awareness and familiarity with the above issues, and how it can be balanced with the desired performance and usability of mobile applications.Through this effort has extensively presented the current situation, challenges,poor development practices, statistics, undesirable mobile application features, and reasons for lack of security that lead to all of the above. It was considered appropriate to differentiate traditional and mobile applications, in order to clarify the terms and requirements between these two categories of apps. Specific security requirements were proposed to develop and implement applications deployed for mobile devices such as smartphones and tablets. It is necessary to separate the applications that are implemented for enterprises and intended for use on mobile devices from those which are implemented for end-users as there are several differences in the requirements and the security and privacy policies deemed necessary in each category. Best practices and recommendations for both cases were presented. Concerning the perception and familiarization of users with security issues in mobile applications, a survey of 118 participants was conducted in the framework of this thesis. Understanding this attitude could lead to improvements in designing applications that will allow users to take advantage of the capabilities and convenience offered by various platform applications by using them securely. Finally, after all of the above, it was examined the effect of the excessive integration of security into mobile applications, and how difficult it may make their usage, performance, and functionality. Based on this issue,methods have been proposed for balancing usability and security to protect users and brands so that the user can use its potential securely.

Περίληψη :

Καθώς η τεχνολογία εξελίσσεται και οι ρυθμοί της καθημερινότητας γίνονται ολοένα και πιο πιεστικοί, η χρήση των κινητών συσκευών και κατ’ επέκταση εφαρμογών προοριζόμενων για αυτές εξακολουθεί να αυξάνεται. Η ανάγκη να είναι οι χρήστες συνεχώς συνδεδεμένοι μπορεί αφενός να βοηθά στο να γίνονται πιο αποτελεσματικοί, ωστόσο παράλληλα σε μια τέτοια κατάσταση πρέπει να γίνει σαφές το γεγονός ότι εγκυμονεί ο κίνδυνος να αντιδρούμε τόσο γρήγορα ώστε να μη δίνουμε την ίδια προσοχή στην προστασία της ασφάλειας και της ιδιωτικότητας των δεδομένων μας, όπως ίσως θα μπορούσαμε λίγα χρόνια πριν. Αυτή η ραγδαία αύξηση των mobile εφαρμογών τόσο στην καθημερινότητα των τελικών χρηστών όσο και στον εργασιακό χώρο μετατρέπεται σε μια σοβαρή και εκτεταμένη απειλή τόσο για την ασφάλεια των δεδομένων της επιχείρησης όσο και για την προστασία της ιδιωτικότητας των χρηστών. Στη σύγχρονη εποχή, η ανάπτυξη mobile εφαρμογών είναι μια πρόκληση για έναν προγραμματιστή. Ο αυξανόμενος αριθμός τόσο των κινητών συσκευών όσο και των δυνητικών εφαρμογών τους, αναγκάζουν τους προγραμματιστές να πρέπει να ξεπεράσουν τα εμπόδια της χρήσης υγιών πρακτικών. Υπάρχει ένα σημαντικό σημείο ανησυχίας που πολλοί προγραμματιστές εφαρμογών επιλέγουν να αγνοούν και αυτό είναι η ασφάλεια. Αυτό που πραγματεύεται η παρούσα εργασία είναι η σημασία του εν λόγω ζητήματος, καθώς και το τι διακυβεύεται εάν η ασφάλεια δε ληφθεί προσεκτικά υπόψη κατά την ανάπτυξη της κάθε mobile εφαρμογής. Όσον αφορά τους οργανισμούς, τα δεδομένα που κάποτε από προεπιλογή διατηρούνταν μέσα στον οργανισμό μπορεί τώρα να επικοινωνήσουν έξω από αυτόν, με πολλές συνέπειες για το πώς αυτά αντιμετωπίζονται από μεμονωμένους υπαλλήλους κάτω από ελάχιστη εποπτεία. Όσον αφορά τους χρήστες, απειλές κατά της ιδιωτικότητας ενδέχεται να προκληθούν από εφαρμογές που δεν είναι απαραίτητα κακόβουλες, αλλά συλλέγουν ή και χρησιμοποιούν περισσότερες ευαίσθητες και προσωπικές πληροφορίες από ό,τι είναι απαραίτητο για την εκτέλεση της λειτουργίας τους, χωρίς επαρκή εξήγηση για το πώς χρησιμοποιούνται οι πληροφορίες αυτές. Σκοπός της παρούσας εργασίας είναι να γίνει κατανοητή η επιτακτική ανάγκη και σημασία της ύπαρξης ασφάλειας και ιδιωτικότητας από το πρώιμο στάδιο σχεδιασμού και ανάπτυξης mobile εφαρμογών, κατά πόσο αυτό επηρεάζεται από την αντίληψη και εξοικείωση των χρηστών αναφορικά με τα παραπάνω ζητήματα και πως θα πρέπει ιδανικά να εξισορροπείται με την επιθυμητή απόδοση αλλά και χρηστικότητα των mobile εφαρμογών. Πιο αναλυτικά ακολουθεί μια προεπισκόπιση της εργασίας. Αρχικά γίνεται λόγος για τη σημασία των παραπάνω εννοιών κατά την ανάπτυξη των mobile εφαρμογών, ενώ κατόπιν, παρουσιάζεται η υπάρχουσα κατάσταση που επικρατεί στον τομέα αυτό, οι προκλήσεις αναφορικά με τα εν λόγω ζητήματα, κακές πρακτικές ανάπτυξης, στατιστικά στοιχεία και μη επιθυμητά χαρακτηριστικά των mobile εφαρμογών, όπως είναι η ανεπαρκής προστασία δεδομένων, η κακόβουλη λειτουργία, τα εκτεταμένα δικαιώματα πρόσβασης και θέματα ευπάθειας. Στη συνέχεια, αναλύονται οι λόγοι έλλειψης ασφάλειας που με τη σειρά τους οδηγούν σε όλα τα παραπάνω. Σε επόμενη ενότητα, παρουσιάζονται τα σημεία που διαφοροποιούνται οι mobile από τις παραδοσιακές εφαρμογές, με σκοπό να γίνει αποσαφήνιση των όρων και των απαιτήσεων ανάμεσα στις δύο κατηγορίες εφαρμογών. Κατανοώντας τη σημασία της ασφάλειας και ιδιωτικότητας στις mobile συσκευές και εφαρμογές καθώς και τις διαφορές μεταξύ των τελευταίων συγκριτικά με τις εφαρμογές που προορίζονται για σταθερούς υπολογιστές ή διαδίκτυο, στο τέταρτο κεφάλαιο γίνεται μια προσπάθεια παρουσίασης των απαιτήσεων ασφάλειας με βάση τις οποίες ενδείκνυται να σχεδιάζονται και να υλοποιούνται οι εφαρμογές που αναπτύσσονται και προορίζονται για mobile συσκευές, όπως smartphones και tablets. Θεωρήθηκε χρήσιμο να γίνει διαχωρισμός των εφαρμογών που υλοποιούνται για επιχειρήσεις και προορίζονται για χρήση σε mobile συσκευές (είτε εταιρικές είτε προσωπικές) και αυτών που υλοποιούνται για τους εκάστοτε τελικούς χρήστες, καθώς υπάρχουν αρκετές διαφορές στις απαιτήσεις και τις πολιτικές ασφάλειας και ιδιωτικότητας που κρίνεται απαραίτητο να τηρούνται στην κάθε κατηγορία. Παρουσιάστηκαν αναλυτικά βέλτιστες πρακτικές ανάπτυξης αναφορικά με την ασφάλεια και ιδιωτικότητα και για τις δύο περιπτώσεις με σκοπό την αποσαφήνιση παρανοήσεων και την ανάδειξη της ιδιαίτερης σημασίας τους από το πρώτο στάδιο σχεδιασμού μιας εφαρμογής έως το τελευταίο. Στην περίπτωση της ανάπτυξης mobile εφαρμογών για εταιρική χρήση, έγινε προσπάθεια να γίνει κατανοητό ότι εκτός από τους developers και οι ίδιοι οι οργανισμοί είναι εκείνοι που θα πρέπει να λάβουν απαραίτητα μέτρα και να ακολουθήσουν συγκεκριμένες διαδικασίες προκειμένου η εφαρμογή που θα αναπτυχθεί αφενός να ακολουθεί και να εναρμονίζεται με τις πολιτικές ασφάλειας της επιχείρησης και αφετέρου να μην λειτουργεί ως αδυναμία και μέσο διέρρευσης πληροφοριών για την εταιρεία. Παρουσιάστηκε εκτενώς η διαδικασία ανάπτυξης αλλά και ελέγχου και έγκρισης/απόρριψής εφαρμογών (VettingProcess) που πρέπει να ακολουθείτε από τον εκάστοτε οργανισμό. Κατόπιν, κρίθηκε σκόπιμο για την επίτευξη αποτελεσματικής και ασφαλούς ανάπτυξης mobile εφαρμογών να γίνει κατανοητή και η ιδιαίτερη σημασία της στάσης του ίδιου του χρήστη απέναντι στην ασφάλεια και την προστασία της ιδιωτικής του ζωής κατά τη χρήση κινητών συσκευών και πώς αυτή μπορεί να διαφέρει από την αντίστοιχη στάση που ενδεχομένως τηρεί απέναντι στα παραδοσιακά συστήματα υπολογιστών. Για το λόγο αυτό, στα πλαίσια του πέμπτου κεφαλαίου της παρούσας εργασίας διεξήχθη έρευνα 118 συμμετεχόντων αναφορικά με την αντίληψη και εξοικείωση των χρηστών σε θέματα ασφάλειας στις mobile εφαρμογές. Η κατανόηση της εν λόγω στάσης θα μπορούσε να οδηγήσει σε βελτιώσεις κατά το σχεδιασμό των εφαρμογών που θα επιτρέπουν στους χρήστες να επωφεληθούν από τις δυνατότητες και την ευκολία που προσφέρουν οι διάφορες πλατφόρμες εφαρμογών, χρησιμοποιώντας τις με ασφάλεια και σιγουριά. Τέλος, κατόπιν της αναλυτικής παρουσίασης όλων των παραπάνω στο έκτο κεφάλαιο εξετάζεται η επίπτωση που ενδεχομένως έχει για το χρήστη η υπερβολική ενσωμάτωση ασφάλειας στις mobile εφαρμογές και κατά πόσο μπορεί τελικά το γεγονός αυτό να δυσχεραίνει τη χρήση, την απόδοση και τη λειτουργικότητά τους. Με γνώμονα το ζήτημα αυτό προτείνονται μέθοδοι για την εξισορρόπηση της χρηστικότητας/ απόδοσης και της ασφάλειας για την προστασία των καταναλωτών, των εργαζομένων, των δικτύων και των εμπορικών σημάτων, ώστε ο χρήστης να απολαμβάνει όλες τις δυνατότητές τους με ασφάλεια.
This thesis examines the importance of integrating security and privacy from the initial design and development phase of mobile applications, whether this is influenced by user awareness and familiarity with the above issues, and how it can be balanced with the desired performance and usability of mobile applications.Through this effort has extensively presented the current situation, challenges,poor development practices, statistics, undesirable mobile application features, and reasons for lack of security that lead to all of the above. It was considered appropriate to differentiate traditional and mobile applications, in order to clarify the terms and requirements between these two categories of apps. Specific security requirements were proposed to develop and implement applications deployed for mobile devices such as smartphones and tablets. It is necessary to separate the applications that are implemented for enterprises and intended for use on mobile devices from those which are implemented for end-users as there are several differences in the requirements and the security and privacy policies deemed necessary in each category. Best practices and recommendations for both cases were presented. Concerning the perception and familiarization of users with security issues in mobile applications, a survey of 118 participants was conducted in the framework of this thesis. Understanding this attitude could lead to improvements in designing applications that will allow users to take advantage of the capabilities and convenience offered by various platform applications by using them securely. Finally, after all of the above, it was examined the effect of the excessive integration of security into mobile applications, and how difficult it may make their usage, performance, and functionality. Based on this issue,methods have been proposed for balancing usability and security to protect users and brands so that the user can use its potential securely.

Λέξη κλειδί :	Εφαρμογές κινητών συσκευών Ασφάλεια Ιδιωτικότητα Mobile applications Security Privacy

Ημερομηνία :	30-09-2017

Άδεια χρήσης :

Αρχείο: Agalioti_2017.pdf

Τύπος: application/pdf

Είσοδος