Rogue apps, hidden web tracking and ubiquitous sensors
| dc.contributor.advisor | Berendt, Bettina | |
| dc.contributor.advisor | Schieferdecker, Ina | |
| dc.contributor.author | Kröger, Jacob Leon | |
| dc.contributor.grantor | Technische Universität Berlin | en |
| dc.contributor.referee | Berendt, Bettina | |
| dc.contributor.referee | Schieferdecker, Ina | |
| dc.contributor.referee | Trinitis, Carsten | |
| dc.contributor.referee | Pape, Sebastian | |
| dc.date.accepted | 2022-06-09 | |
| dc.date.accessioned | 2022-09-14T14:26:22Z | |
| dc.date.available | 2022-09-14T14:26:22Z | |
| dc.date.issued | 2022 | |
| dc.description.abstract | In the face of ubiquitous surveillance and people’s loss of control over their personal data, informational privacy is widely perceived as irretrievably “dead”. Illustrating the complexity of the problem and contributing to the search for realistic solutions, this cumulative dissertation deals with privacy threats posed by mobile apps, web tracking, and embedded sensors. The dissertation starts with an introductory chapter that establishes the motivation and introduces the theoretical background, followed by four parts: Part I focuses on privacy threats posed by sensors embedded into consumer devices. First, three studies provide an overview of the rich variety of personal information that can be inferred from eye-tracking data, accelerometer data, and voice recordings. Second, a study on users’ perceptions about the privacy impacts of voice and speech analysis is presented. Third, the feasibility and detectability of smartphone-based eavesdropping is investigated, addressing accelerometers as a possible eavesdropping channel. Fourth, the privacy-invading potential of video games and their associated sensor-equipped hardware is explored. Part II focuses on data practices of mobile apps. An undercover investigation is presented, probing whether app vendors comply with transparency obligations prescribed by EU’s General Data Protection Regulation. While the law grants consumers the right to access the personal data that companies hold about them, the study reveals severe obstacles to exercising this right in practice. Part III presents two novel approaches for the detection and exposure of hidden web tracking. First, a browser extension is proposed that records internet browsing sessions to obtain training data for automated web-tracking detection. Artificial data, which is commonly used for this purpose, has severe drawbacks that can be overcome by using real-world browsing data. Second, methods are explored to “sonify” web-tracking activity, i.e., make it audible to internet users through indicative sounds and melodies. Furthermore, in reference to topics covered in Part I, suggestions are provided as to how the range of personal information that can be inferred from different types of sensor data could be recorded in a digital database in order to be presented in an interactive and updatable form. Part IV sheds a critical light on the legal principle that people individually manage their privacy via notice and choice (“privacy self-management”), drawing on findings from the previous parts and related literature. Based on a holistic examination of its limitations, it is argued that privacy self-management does not function in practice, amounting to a major loophole in privacy law. This dissertation emphasizes the need for new ways of dealing with the excessive and obscure forms of surveillance prevalent in modern life. It adds to the academic debate and scientific literature about possible privacy threats emerging from consumer electronics as well as to exposing the failure of current laws to protect our privacy. The dissertation concludes with a discussion of overarching themes. While emphasizing the seriousness and complexity of the privacy threats under investigation, a general privacy-is-dead attitude is firmly rejected. In light of the findings, policy recommendations and possible avenues for future research are presented. | en |
| dc.description.abstract | Angesichts der heutzutage allgegenwärtigen Überwachung erscheinen Datenschutzbestrebungen häufig wie ein aussichtsloses Unterfangen. Um die Komplexität des Problems zu veranschaulichen und zur Erschließung realistischer Lösungswege beizutragen, befasst sich diese kumulative Dissertation mit Bedrohungen für unsere Privatsphäre, die von mobilen Apps, Web-Tracking und eingebetteten Sensoren ausgehen. Nachdem ein einleitendes Kapitel die Motivation für meine Forschung darlegt und theoretische Hintergründe beleuchtet, besteht die vorliegende Arbeit aus vier Teilen: Teil I untersucht die Auswirkungen, die Sensoren in Alltagsgeräten auf unsere Privatsphäre haben. Zunächst geben drei Studien – in der Literatur erstmals in diesem Umfang – einen Überblick über die Vielfalt an persönlichen Informationen, die sich aus Eye-Tracking-Daten, Sprachaufnahmen und aus den Daten von Beschleunigungssensoren ableiten lassen. Anschließend untersucht eine Studie die Wahrnehmungen von Nutzer/-innen bezüglich der Möglichkeiten moderner Sprach- und Stimmanalyse. Das nachfolgende Kapitel befasst sich mit der Durchführbarkeit und Nachweisbarkeit von Smartphone- basierten Lauschangriffen, wobei Beschleunigungssensoren als möglicher Abhörkanal beleuchtet werden. Zuletzt präsentiert ein Kapitel Kategorien von persönlichen Informationen, die sich aus Videospiel-Daten (inkl. Sensordaten aus Gaming-Equipment) ableiten lassen. Teil II konzentriert sich auf die Datenpraktiken mobiler Apps. Es wird eine vierjährige Undercover- Studie vorgestellt, bei der geprüft wurde, inwiefern App-Anbieter die in der EU vorgeschriebenen Transparenzpflichten einhalten. Obwohl das Gesetz Verbraucher/-innen das Recht auf Auskunft über ihre personenbezogenen Daten einräumt, zeigt die Studie, dass die Ausübung dieses Rechts in der Praxis mit erheblichen Hindernissen verbunden ist. Teil III stellt zwei neue Ansätze vor, um Web-Tracking aufzudecken und erfahrbar zu machen. Zunächst wird ein Browser-Plugin präsentiert, das Browsersitzungen aufzeichnet, um Trainingsdaten für die automatische Erkennung von Web-Tracking zu sammeln. Künstliche Daten, die üblicherweise für diesen Zweck verwendet werden, haben diverse Nachteile, die durch die Verwendung realer Daten überwunden werden können. Anschließend erkundet ein Kapitel, wie Web-Tracking „sonifiziert“, d.h. für Nutzer/-innen durch Klänge und Melodien hörbar gemacht, werden kann. Zuletzt werden in Bezugnahme auf Teil I Vorschläge gemacht, wie das Spektrum der persönlichen Informationen, die sich aus verschiedenen Arten von Sensordaten ableiten lassen, ebenfalls digial registriert und interaktiv erfahrbar gemacht werden könnte. Teil IV wirft einen kritischen Blick auf das Prinzip, dass Individuen per Einwilligung über die Verwendung ihrer persönlichen Daten entscheiden sollen („privacy self-management“). Basierend auf einer ganzheitlichen Untersuchung der Nachteile dieses Ansatzes wird argumentiert, dass die Selbstverwaltung persönlicher Daten in der Praxis nicht funktioniert und somit eine erhebliche Lücke im Datenschutzrecht darstellt. Diese Dissertation unterstreicht die Notwendigkeit, neue Wege zu finden, um mit den exzessiven und obskuren Formen der Überwachung in unserer heutigen Gesellschaft umzugehen. Sie trägt zur wissenschaftlichen Literatur über mögliche Bedrohungen der Privatsphäre im Bereich der Verbraucherelektronik bei und zeigt das Versagen der aktuellen Gesetze zum Schutz unserer Privatsphäre auf. Die Dissertation schließt mit einer Diskussion von übergreifenden Themen. Zwar wird die Gefährlichkeit und Komplexität der untersuchten Eingriffe in unsere Privatsphäre hervorgehoben, doch wird eine allgemeine privacy-is-dead-Haltung entschieden zurückgewiesen. Vor dem Hintergrund der Forschungsergebnisse werden politische Empfehlungen und Ideen für zukünftige Forschung präsentiert. | de |
| dc.identifier.uri | https://depositonce.tu-berlin.de/handle/11303/17263 | |
| dc.identifier.uri | http://dx.doi.org/10.14279/depositonce-16043 | |
| dc.language.iso | en | en |
| dc.relation.haspart | 10.14279/depositonce-16358 | |
| dc.relation.haspart | 10.14279/depositonce-16360 | |
| dc.relation.haspart | 10.14279/depositonce-16361 | |
| dc.relation.haspart | 10.14279/depositonce-16362 | |
| dc.relation.haspart | 10.14279/depositonce-16364 | |
| dc.relation.haspart | 10.1016/j.entcom.2022.100537 | en |
| dc.relation.haspart | 10.14279/depositonce-16456 | |
| dc.rights.uri | http://rightsstatements.org/vocab/InC/1.0/ | en |
| dc.subject.ddc | 000 Informatik, Informationswissenschaft, allgemeine Werke | de |
| dc.subject.other | privacy | en |
| dc.subject.other | data protection | en |
| dc.subject.other | information security | en |
| dc.subject.other | inference attack | en |
| dc.subject.other | privacy self-management | en |
| dc.subject.other | data mining | en |
| dc.subject.other | sensors | en |
| dc.subject.other | eye tracking | en |
| dc.subject.other | voice analysis | en |
| dc.subject.other | accelerometer | en |
| dc.subject.other | Privatsphäre | de |
| dc.subject.other | Datenschutz | de |
| dc.subject.other | Datensicherheit | de |
| dc.subject.other | Inferenzangriff | de |
| dc.subject.other | informationelle Selbstbestimmung | de |
| dc.subject.other | Sensoren | de |
| dc.subject.other | Stimmenanalyse | de |
| dc.subject.other | Beschleunigungssensor | de |
| dc.title | Rogue apps, hidden web tracking and ubiquitous sensors | en |
| dc.title.subtitle | investigations into the complexity of modern privacy threats | en |
| dc.type | Doctoral Thesis | en |
| dc.type.version | acceptedVersion | en |
| tub.accessrights.dnb | domain | en |
| tub.affiliation | Fak. 4 Elektrotechnik und Informatik::Inst. Telekommunikationssysteme::FG Internet und Gesellschaft | de |
| tub.affiliation.faculty | Fak. 4 Elektrotechnik und Informatik | de |
| tub.affiliation.group | FG Internet und Gesellschaft | de |
| tub.affiliation.institute | Inst. Telekommunikationssysteme | de |
| tub.publisher.universityorinstitution | Technische Universität Berlin | en |