Datenbank-Spektrum

, Volume 15, Issue 2, pp 109–118 | Cite as

Der Secure Data Container (SDC)

Sicheres Datenmanagement für mobile Anwendungen
SCHWERPUNKTBEITRAG
  • 185 Downloads

Zusammenfassung

Mobile Endgeräte wurden zu Marc Weisers Computer des 21. Jahrhunderts, da sie als dauerhaft verfügbare Informationsquelle Einzug in unseren Alltag gehalten haben. Auf ihnen treffen private Daten (z. B. Fotos) auf Kontextdaten (z. B. Standortdaten); verknüpft stellen diese ein immenses Sicherheitsrisiko dar. Wie eine Vielzahl an Datendiebstählen belegt, reichen die existierenden Datensicherheitssysteme für Mobilplattformen bei weitem nicht aus. Daher bedarf es einer Identifikation möglicher Angriffsvektoren sowie einer Analyse der speziellen Schutzziele eines solchen Systems. Darauf basierend wird die Privacy Management Platform, ein Berechtigungssystem, mithilfe des neu eingeführten Secure Data Containers zu einem ganzheitlichen Datensicherheitssystem erweitert. Dabei zeigt sich, dass diese Kombination alle Schutzziele erfüllt und dennoch hochperformant ist. Obwohl die vorgestellten Prototypen auf Android basieren, ist das Konzept auch auf andere App-Plattformen anwendbar.

Schlüsselwörter

Datenschutz Schutzziele PMP-Erweiterung Datencontainer Evaluation 

Notes

Acknowledgement

Die PMP entstand initial in Zusammenarbeit mit Google München. Dafür möchten wir Google danken.

Literatur

  1. Arkin B et al (2005) Software penetration testing. IEEE Secur Priv 3(1):84–87Google Scholar
  2. Backes M et al (2013) AppGuard – enforcing user requirements on Android Apps. In: TACAS, Springer-Verlag, Berlin, HeidelbergGoogle Scholar
  3. Balebako R et al (2013) „Little brothers watching you“: raising awareness of data leaks on smartphones. In: SOUPS, ACM, New YorkGoogle Scholar
  4. Chan PP et al (2012) DroidChecker: Analyzing android applications for capability Leak. In: WISEC, ACM, New YorkGoogle Scholar
  5. Cherdantseva Y, Hilton J (2013) A reference model of information assurance & security. In: ARES, IEEE Computer Society, WashingtonGoogle Scholar
  6. Conti M et al (2012) CRêPE: a system for enforcing fine-grained context-related policies on Android}. IEEE Inf Foren Sec 7(5):1426–1438Google Scholar
  7. Enck W et al (2014) TaintDroid: An information-flow tracking system for realtime privacy monitoring on smartphones. ACM Comput Syst 32(2):5:1–5:29Google Scholar
  8. Felizardo V et al (2014) E-Health: current status and future trends. In: Handbook of research on democratic strategies and citizen-centered E-Government services. IGI Global, S 302–326Google Scholar
  9. Felt AP et al (2012a) Android permissions: user attention, comprehension, and behavior. In: SOUPS, ACM, New YorkGoogle Scholar
  10. Felt AP et al (2012b) How to ask for permission. In: HotSec, USENIX Association, BerkeleyGoogle Scholar
  11. Gaff BM et al (2014) Privacy and big data. Computer 47(6):7–9Google Scholar
  12. Geambasu R et al (2011) Keypad: an auditing file system for theft-prone devices. In: EuroSys, ACM, New YorkGoogle Scholar
  13. Gerber P et al (2015) Usability versus privacy instead of usable privacy. ACM SIGCAS Comput Soc 45(1):16–21Google Scholar
  14. Gorecky D et al (2014) Mensch-Maschine-Interaktion im Industrie 4.0-Zeitalter. In: Industrie 4.0 in Produktion, Automatisierung und Logistik. Springer Fachmedien, Wiesbaden, S 525–542Google Scholar
  15. Holtewert P et al (2013) Virtual fort knox federative, secure and cloud-based platform for manufacturing. Procedia CIRP 7:527–532Google Scholar
  16. Jin H et al (2013) Recommendations-based location privacy control. In: PerCom Workshops, IEEE Computer Society, WashingtonGoogle Scholar
  17. Kodeswaran P et al (2012) Securing enterprise data on smartphones using run time information flow control. In: MDM, IEEE Computer Society, WashingtonGoogle Scholar
  18. Larson J et al (2014) Spy agencies probe angry birds and other apps for personal data. ProPublica. http://goo.gl/EVdJJU. Zugegriffen: 4. June 2015
  19. Leontiadis I et al (2012) Don’t kill my Ads!: balancing privacy in an ad-supported mobile application market. In: HotMobile, ACM, New YorkGoogle Scholar
  20. {Lookout} (2014) 2014 Mobile threat report. White Paper. http://goo.gl/bnt10q Zugegriffen: 5. June 2015
  21. McGraw G, Potter B (2004) Software security testing. IEEE Secur Priv 2(5):81–85Google Scholar
  22. Neisse R et al (2013) A trustworthy usage control enforcement framework. Int J Mobile Comput Multimed Commun 5(3):34–49Google Scholar
  23. Ongtang M et al (2012) Semantically rich application-centric security in Android. Secur Commun Netw 5(6):658–673Google Scholar
  24. Posegga J, Schreckling D (2011) Next generation mobile application security. In: IT-Sicherheit zwischen Regulierung und Innovation. Vieweg+Teubner Verlag, Wiesbaden, S 181–199Google Scholar
  25. Reardon J et al (2012) Data node encrypted file system: efficient secure deletion for Flash Memory. In: Security, USENIX Association, BerkeleyGoogle Scholar
  26. Russello G et al (2011) YAASE: yet another Android security extension. In: PASSAT, IEEE Computer Society, WashingtonGoogle Scholar
  27. {Samsung Electronics} (2015) An overview of the Samsung KNOX Platform. White PaperGoogle Scholar
  28. Schmidt E, Cohen J (2013) The new digital age: reshaping the future of people, nations and business. Alfred A. Knopf, Inc., New YorkGoogle Scholar
  29. Shilton K (2009) Four billion little brothers?: Privacy, mobile phones, and ubiquitous data collection. Communications of the ACM 52(11):48–53Google Scholar
  30. Stach C (2013a) How to assure privacy on Android phones and devices? In: MDM, IEEE Computer Society, WashingtonGoogle Scholar
  31. Stach C (2013b) Wie funktioniert Datenschutz auf Mobilplattformen? In: 43. GI-Jahrestagung, Köllen Druck+Verlag GmbH, BonnGoogle Scholar
  32. Stach C (2015) How to deal with third party apps in a privacy system – the PMP gatekeeper. In: MDM, IEEE Computer Society, WashingtonGoogle Scholar
  33. Stach C, Mitschang B (2013) Privacy management for mobile platforms – a review of concepts and approaches. In: MDM, IEEE Computer Society, WashingtonGoogle Scholar
  34. Stach C, Mitschang B (2014) Design and implementation of the privacy management platform. In: MDM, IEEE Computer Society, WashingtonGoogle Scholar
  35. Stahlberg P et al (2007) Threats to privacy in the forensic analysis of database systems. In: SIGMOD, ACM, New YorkGoogle Scholar
  36. Svajcer V (2014) Sophos mobile security threat report. Sophos. http://goo.gl/iIhj5e Zugegriffen: 5. June 2015
  37. Weiser M (1999) The computer for the 21st century. ACM SIGMOBILE Mobile Comput Commun Rev 3(3):3–11Google Scholar
  38. Xu R et al (2012) Aurasium: practical policy enforcement for android applications. In: Security, USENIX Association, BerkeleyGoogle Scholar

Copyright information

© Springer-Verlag Berlin Heidelberg 2015

Authors and Affiliations

  1. 1.Institut für Parallele und Verteilte SystemeUniversität StuttgartStuttgartDeutschland

Personalised recommendations