Ασφάλεια προσωπικών δεδομένων σε εφαρμογές λογισμικού υγείας (e-health) ενσωματωμένων συστημάτων
Loading...
Date
2022-02-22
Authors
Δημοπούλου, Μαριάνα
Journal Title
Journal ISSN
Volume Title
Publisher
Abstract
Το οικοσύστημα των έξυπνων κινητών τηλεφώνων, καθώς και των εφαρμογών τους, είναι ραγδαία εξελισσόμενο τα τελευταία χρόνια, με δισεκατομμύρια χρήστες κινητών, οι οποίοι συνεχώς αυξάνονται και κάθε ένας από αυτούς έχει δεκάδες εφαρμογές, διαφόρων κατηγοριών, εγκατεστημένες στο τηλέφωνό του. Ένας ιδιαίτερα αναπτυσσόμενος τομέας, είναι οι εφαρμογές mHealth, η χρήση των οποίων αφορά τόσο τους απλούς χρήστες, όσο και τους επαγγελματίες υγείας, προσφέροντας εργαλεία και υπηρεσίες υποστήριξης της υγείας των χρηστών, κάνοντας χρήση δεδομένων που προέρχονται είτε άμεσα από τους ίδιους τους χρήστες με χειροκίνητη εισαγωγή, είτε έμμεσα από το περιβάλλον τους, μέσω αισθητήρων που μετρούν σωματικές και περιβαλλοντικές ενδείξεις.
Η χρήση τέτοιου είδους εφαρμογών συνεπάγεται την επεξεργασία ευαίσθητων προσωπικών δεδομένων, όπως οι καρδιακοί παλμοί, η τοποθεσία ή η λίστα επαφών τους. Στην εποχή του Big Data, πραγματοποιείται συλλογή και διασταύρωση πληροφοριών από διαφορετικές πηγές, με στόχο τη δημιουργία περιεκτικών προφίλ χρήστη, η ύπαρξη και μόνο των οποίων αποτελεί σημαντική απειλή στην ιδιωτικότητα των χρηστών.
Από το 2018 στην Ευρωπαϊκή Ένωση εφαρμόστηκε ο GDPR, ο οποίος όριζε το νομικό πλαίσιο για την προστασία των προσωπικών δεδομένων των ευρωπαίων πολιτών. Ο GDPR επηρέασε την έννοια της προστασίας προσωπικών δεδομένων παγκοσμίως, καθώς οποιοσδήποτε οργανισμός επεξεργάζεται προσωπικά δεδομένα πολιτών της Ευρώπης, άσχετα με την έδρα του, θα πρέπει να συμμορφώνεται σε αυτόν. Στον πυρήνα του GDPR βρίσκονται η Προστασία Δεδομένων by default και by design, η διαφάνεια, η λογοδοσία, καθώς και η ελεύθερη, ενημερωμένη συναίνεση των χρηστών για την επεξεργασία των δεδομένων τους. Τα χρόνια που πέρασαν από την εφαρμογή του GDPR, και υπό τον φόβο υψηλών προστίμων, γίνεται προσπάθεια συμμόρφωσης στο νομικό πλαίσιο, ωστόσο η επισκόπηση της υπάρχουσας βιβλιογραφίας αποκαλύπτει πως υπάρχουν αρκετές ελλείψεις.
Μια ανεξέλεγκτη απειλή προς την ιδιωτικότητα των χρηστών αποτελεί η συνηθισμένη πρακτική των προγραμματιστών να ενσωματώνουν στις εφαρμογές τους βιβλιοθήκες τρίτων, στον κώδικα των οποίων δεν έχουν ούτε οι ίδιοι πρόσβαση. Ειδικά στα συστήματα Android, που κατέχουν το κυρίαρχο κομμάτι της αγοράς, οι ενσωματωμένες βιβλιοθήκες αποκτούν τα ίδια δικαιώματα πρόσβασης με τις host εφαρμογές. Έτσι, δημοφιλείς βιβλιοθήκες μπορούν μέσω διαφορετικών εφαρμογών, να αποκτήσουν πλήρη πρόσβαση σε ευαίσθητα προσωπικά δεδομένα χρηστών (Intra-Library Collusion).
Στην παρούσα εργασία πραγματοποιήθηκε ανάλυση και καταγραφή της λειτουργίας 9 δημοφιλών δωρεάν mHealth εφαρμογών Android. Για την στατική και δυναμική ανάλυσή τους χρησιμοποιήθηκαν οι εφαρμογές Exodus και TrackerControl. Οι άδειες πρόσβασης που αιτούνται οι εφαρμογές, κατά πόσο είναι απαραίτητες για τη λειτουργία τους, οι Trackers, διαφόρων κατηγοριών, οι οποίοι εντοπίστηκαν στον κώδικα των εφαρμογών και κατά πόσο υπήρξε επικοινωνία μαζί τους αναλύοντας την κίνηση δικτύου της κάθε εφαρμογής, και κατά πόσο η πολιτική απορρήτου της κάθε εφαρμογής ενημέρωνε επαρκώς τον χρήστη για την επεξεργασία των δεδομένων του, ήταν θέματα που εξετάστηκαν. Τα ευρήματα της παρούσας εργασίας έρχονται σε συμφωνία με την υπάρχουσα βιβλιογραφία, εντοπίζοντας σημεία αναφορικά στην ασφάλεια των προσωπικών δεδομένων των χρηστών, τα οποία θα μπορούσαν να βελτιωθούν.
Description
Keywords
Προσωπικά δεδομένα, Βιβλιοθήκες τρίτων, Άδειες πρόσβασης