Huber, M. (2013). Security and privacy implications of third-party access to online social networks [Dissertation, Technische Universität Wien]. reposiTUm. https://doi.org/10.34726/hss.2013.21837
Soziale Online Netzwerke (englische Abkürzung: "OSNs") zählen heute zu den beliebtesten Internetservices und werden weltweit von hunderten Millionen Menschen benutzt. Soziale Netzwerke werden hierbei verwendet um online: Freundschaften zu pflegen, digitale Inhalte auszutauschen, als auch um zu kommunizieren. Benutzer von sozialen Medien verwenden in der Regel ihre wirkliche Identität. Des Weiteren animieren Betreiber von sozialen Netzwerken ihre Benutzer dazu eine Vielzahl von persönlichen Informationen mittels ihrer Services zu veröffentlichen. Der Zugriff auf die beträchtlichen Datenmengen von persönlichen Informationen wird ausschließlich durch die Betreiber von sozialen Netzwerken geregelt. Die Forschung im Bereich der Sicherheit und Privatsphäre von sozialen Netzwerken hatte sich in den vergangenen Jahren hauptsächlich auf das Informationsveröffentlichungsverhalten von Benutzern sowie auf die sich daraus ergebenen Herausforderungen für die Verwaltung von Profilinhalten fokussiert. Im Gegensatz dazu, hat sich die Forschung relativ wenig auf den OSN Datenzugriff von Dritten, und insbesondere Drittanbieteranwendungen spezialisiert. Bei Drittanbieteranwendungen, oder umgangssprachlich "apps", handelt es sich um beliebte Erweiterungen deren aktuelle Funktionsweise den Transfer von persönlichen Informationen außerhalb der geschützten OSN Plattformen ermöglicht. Mit dieser Dissertation streben wir eine Erweiterung des aktuellen Wissensstands zu den Auswirkungen von Drittanbieterzugriffen auf die OSN Benutzer-Sicherheit und -Privatsphäre an. Das erste komplexe Forschungsproblem das wir hierbei behandeln, ist die automatische Analyse von Drittanbieteranwendungen auf Sicherheits- und Privatsphären-Defizite. Die verteilte OSN Infrastruktur verhindert den Einsatz von bestehenden Methoden der digitalen Forensik. Daher fokussieren wir in unserer zweiten Forschungsfrage auf neuartige Methoden, um digitale Beweise aus sozialen Netzwerken zu sammeln. Als dritte Forschungsfrage beschäftigen wir uns mit der Ausnutzung der mangelnden OSN-Verbindungssicherheit für ausgeklügelte Session-Hjiacking Angriffe. Die erste Forschungsfrage brachte ein automatisiertes System zum Aufspüren von Defiziten bezüglich Sicherheit und Privatsphäre von Drittanbieteranwendungen, mit dem Namen "AppInspect", hervor. Unsere Ergebnisse führten zur Beseitigung einer Reihe von Informationslecks in populären Anwendungen. Diese Arbeit leistet des Weiteren, mit unserer "Social Snapshot" Software zur OSN Datensammlung, einen wichtigen Beitrag im Bereich der digitalen Forensik. In Folge, stellt unser drittes Hauptergebnis die sogenannten "Friend-in-The-Middle (FiTM)" Angriffe dar. Unsere Ergebnisse heben die Wichtigkeit von OSN-Verbindungssicherheit hervor und OSN Betreiber beginnen diese Erkenntnis zu berücksichtigen. In Folge erwarten wir, dass die führenden Betreiber von sozialen Netzwerken in naher Zukunft alle Verbindungen standardmäßig verschlüsseln.
de
Online Social Networks (OSNs) are used by hundreds of millions of users worldwide. People rely on OSNs to foster social relationships, exchange media files, and to communicate online. OSN users in general provide their real world identity, and social networking providers encourage their users to share a plethora of personal information via their services. Access to the fast amounts of personal information is exclusively governed by social network providers. Thirdparty applications, or colloquial "apps", are popular extensions to OSNs and their current modus operandi allows them to transfer personal information out of walled gardens of OSNs. In this thesis, we strive to advance research on the security and privacy implications of OSN third-party access, and hereby tackle three main research problems. The first research problem we attempt to solve, is the automated analysis of OSN application ecosystems regarding their security and privacy practices. Second, current methods for digital forensics are rendered useless by the distributed nature of OSNs, and we therefore investigate into novel methods to collect digital evidence from OSNs. Third, we want to estimate the impact of social network`s weak communication security practices. Our results helped to detect and mitigate a number of information leaks in popular Facebook third-party applications. We furthermore outline a novel approach for OSN evidence collection, which makes an important contribution to the area of digital forensics. Finally, our third main result outlines the impact of hijacked OSN user sessions. Due to our findings, we expect that all major social networking providers make encrypted communication protocols their default in the near future.
en
Additional information:
Abweichender Titel laut Übersetzung der Verfasserin/des Verfassers Zsfassung in dt. Sprache