Future Generation Computer Systems 80 (2018) 546–557

Contents lists available at ScienceDirect

Future Generation Computer Systems

journal homepage: www.elsevier.com/locate/fgcs

Your WiFi is leaking: What do your mobile apps gossip about you?

John S. Atkinson a,lowast;, John E. Mitchell a, Miguel Rio a, George Matich b

a University College London, UK

b Selex ES, UK

h i g h l i g h t s

• Analysis of WiFi privacy leaks despite encryption.
• Inference of personal information from personalised mobile app usage.
• Live detection on real-world networks.
• Demonstration of a practical threat to real-world users.
• Techniques can generalise to other protocols e.g. 4G LTE.

a r t i c l e i n f o

Article history:

Received 31 August 2015 Received in revised form 22 May 2016

Accepted 25 May 2016

Available online 2 June 2016

Keywords:

WiFi

Mobile apps Privacy Security

Data protection Information inference

a b s t r a c t

This paper describes how mobile device apps can inadvertently broadcast personal information through their use of wireless networks despite the correct use of encryption. Using a selection of personas we illustrate how app usage can be tied to personal information. Users would likely assume the confidentiality of personal information (including age, religion, sexuality and gender) when using an encrypted network. However, we demonstrate how encrypted traffic pattern analysis can allow a remote observer to infer potentially sensitive data passively and undetectably without any network credentials.

Without the ability to read encrypted WiFi traffic directly, we process the limited side-channel data available (timings and frame sizes) to enable remote app detection. These side-channel data measurements are represented as histograms and used to construct a Random Forest classifier capable of accurately identifying mobile apps from the encrypted traffic they cause. The Random Forest algorithm was able to correctly identify apps with a mean accuracy of 99% within the training set.

sim;

The classifier was then adapted to form the core of a detection program that could monitor multiple devices in real-time. Tests in a closed-world scenario showed 84% accuracy and demonstrated the ability to overcome the data limitations imposed by WiFi encryption. Although accuracy suffers greatly (67%) when moving to an open-world scenario, a high recall rate of 86% demonstrates that apps can unwittingly broadcast personal information openly despite using encrypted WiFi. The open-world false positive rate (38% overall, or 72% for unseen activity alone) leaves much room for improvement but the experiment demonstrates a plausible threat nevertheless.

Finally, avenues for improvement and the limitations of this approach are identified. We discuss potential applications, strategies to prevent these leaks, and consider the effort required for an observer to present a practical privacy threat to the everyday WiFi user. This paper presents and demonstrates a nuanced and difficult to solve privacy vulnerability that cannot not be mitigated without considerable changes to current- and next-generation wireless communication protocols.

copy; 2016 The Author(s). Published by Elsevier B.V.

This is an open access article under the CC BY license (http://creativecommons.org/licenses/by/4.0/).

Introduction

WiFi communications are now an everpresent part of mod- ern society; pervading homes, business and almost everything be-

lowast; Corresponding author.

E-mail address: j.atkinson@ee.ucl.ac.uk (J.S. Atkinson).

http://dx.doi.org/10.1016/j.future.2016.05.030

tween. The availability of WiFi and cellular data plans has led to an explosion of popularity in mobile devices (phones and tablets) and the apps that run on them. As will be discussed in Section 2, the ability to infer information about encrypted communications via side-channels has been previously established, as have the pri- vacy implications of persistently carrying personal mobile devices and the potential security risks of particular apps and services. However, this paper demonstrates how the three in combination

0167-739X/copy; 2016 The Author(s). Published by Elsevier B.V. This is an open access article under the CC BY license (http://creativecommons.org/licenses/by/4.0/).

present a perfect storm making usersrsquo; private and sensitive in- formation vulnerable. This information can be leaked to any lis- tening party within reception range of the wireless network. The observer can operate despite WiFi encryption working exactly as designed, requires no access credentials, and can perform the anal- ysis on commodity hardware. The technique is therefore remote, passive, undetectable and inexpensive.

To demonstrate this, 34 highly-ranked apps were chosen and the target demographics of their users identified. Network data was then collected as the apps were opened. This network activity denotes the use of a particular app. Howe

剩余内容已隐藏，支付完成后下载完整资料

摘要

本文描述了移动设备应用程序如何通过使用无线网络来无意中广播个人信息，尽管正确使用了加密。我们使用一些人物角色来说明如何将应用程序的使用与个人信息联系起来。用户可能会承担个人信息的机密性(包括年龄、性别和宗教信仰)。 在使用加密网络时。然而，我们演示了加密的交通模式分析如何允许远程观察者被动地和不可探测地推断出潜在的敏感数据， 没有任何网络凭证。

没有能力直接读取加密的WiFi流量，我们处理有限的侧通道数据(时间和帧大小)，以支持远程应用程序检测。这些侧通道数据测量 Rements被表示为直方图，用来构造一个随机森林分类器，能够从加密的流量中准确地识别移动应用程序。随机森林算法 能够正确识别应用程序，平均准确率为99%。

然后，对分类器进行调整，使其成为能够实时监视多个设备的检测程序的核心。在封闭世界场景中的测试显示了84%的准确性，并证明了abi。 克服WiFi加密带来的数据限制。尽管在进入开放世界的场景时，准确率受到了很大的影响(67%)，但86%的高召回率表明应用程序可以运行。 尽管使用加密的WiFi，但有意地公开广播个人信息。开放世界的假阳性率(总体上为38%，仅为看不见的活动为72%)仍有很大的改进余地。 尽管如此，实验证明了一个合理的威胁。

最后，确定了改进的途径和这种方法的局限性。我们讨论了潜在的应用程序，防止这些泄漏的策略，并考虑了对一个bs所需要的努力。 给每天的WiFi用户带来实际的隐私威胁。本文给出并演示了一个微妙且难以解决的隐私漏洞，如果没有它，隐私漏洞是无法消除的。 当前和下一代无线通信协议的重大变化。

1. 介绍

WiFi现在已经成为现代社会的一个组成部分，遍布家庭，事业和这两者之间的绝大多数事。有效WiFi和蜂窝数据计划的普及已经导致移动设备(手机和平板电脑)及其上运行的应用程序大受欢迎。正如将在第2节中讨论的那样，ABI 通过侧通道推断有关加密通信的信息，以及持续携带个人移动设备的pri-vacy含义以及 特定应用程序和服务的潜在安全风险。然而，本文展示了三者是如何结合在一起的。这是一场完美的风暴，使用户的隐私和敏感信息变得脆弱。这一信息可以泄露给无线网络接收范围内的任何接收方。观察者 尽管WiFi加密的工作原理与设计完全相同，但VER仍然可以运行，不需要访问凭证，并且可以对商品硬件执行分析。因此，这种技术是远程的、被动的、不可探测的和廉价的。

为了证明这一点，我们选择了34个排名较高的应用程序，并确定了其用户的目标人口结构。然后，当应用程序被打开时，收集网络数据。这个网络活动表示 使用一个特定的应用程序。然而，由于加密，只能以侧通道的形式提供有限的信息.使用了帧大小和到达时间特性的解释。 创建直方图，详细说明这些指标在给定时间内的分布情况。然后，可以使用这些分布来区分加密网络活动的样本和不同的示例。 Eent应用程序。这些分布被适当地标记，并被随机森林机器学习算法用来生成一个分类器，该分类器根据e的样本预测应用程序的使用(或不使用)。 nCrypted网络活动。然后，随机森林被转换为编译代码，以便对数据进行实时快速分析。创建人物角色是为了模仿不同的人，可能的应用程序选择，以及 然后实时监控个人信息是如何被泄露的。

用于识别应用程序的方法也可以用于对加密通信(如VoIP、网站)的其他活动进行“指纹识别”。然而，移动应用的个人联系，一个公开排名的市场，其多样性相对较低(与其他工作中的网站指纹相比)，以及易于收集，使得应用程序特别受欢迎。 移动和易受攻击的目标。虽然本文中的过程是用标准802.11gWiFi演示的，但是这些方法应该推广到其他无线通信协议中，除非它们是专门设计来重新设计的。 禁止这种类型的分析。值得注意的是，在移动应用程序中，用于执行这一分析的测量值也将出现在更远的协议中，如移动电话网络中的4G LTE协议。

1.1场景和WiFi环境

这里介绍的场景将为所有读者所熟悉：移动设备连接到提供互联网接入的WiFi接入点(AP)。然后，设备上的应用程序可以使用这个连接到com。 与某些远程互联网服务器通信。来自这些服务器的信息用于提供应用程序的内容或功能。虽然依赖于internet连接，但这个集中式的archit ecture将设备本身所需的存储和处理能力降到最低。因此，设备可以更小，更便宜，并提供最新的内容或备份，无论何时连接.此外， 在3.2节中，我们发现，即使那些只提供静态本地内容的应用程序，在某种程度上仍然可以在可用时使用Internet连接。在我们的场景中，AP提供了一个 802.11g WiFi网络使用行业标准加密(即WPA2-PSK或WPA2-EnterprisewithEAP)，因此只有授权用户才能访问该网络。

如图1所示，我们的对手是一个远程观察者，试图推断连接到AP的移动设备的用户信息。由于观测过程完全是被动的， 观察者是完全无法被用户或网络运营商发现的。它们不一定是恶意的，但没有访问网络凭据或安全密钥的权限，也不可能尝试解密。 攻击或发现它们。正如将在第6节中讨论的那样，本文提出的方法可以用于各种目的，包括良性的目的。

1.2贡献

本文详细介绍了以下贡献：

1.说明如何从加密WiFi通信量的外部观察中提取足够的信息，以识别特定的用户活动。我们描述了时间和帧大小的测量方法。 短时间内的Ents可以解释为直方图。这些直方图桶的值通过机器学习驱动分类。尽管数据非常有限，但这一信息仍然存在。 可以用于精确地“指纹”来自远程、无特权的有利位置的不同活动。

2.我们将这种指纹技术应用于广泛使用的移动应用中，并构建了一个随机森林，能够从加密的活动中准确识别这些应用程序。我们 收集设备上的通信量，然后从远程、非特权观察者的角度将测量值转换为它的外观。随机森林算法能够正确地分类。 这个训练集的平均准确率为99%。

3.由于许多移动应用程序具有高度个性化的特性，我们表明，在不破坏加密的情况下对这些应用进行指纹识别可以泄漏私密信息。妖魔化人物的选择 评估如何将个人信息链接到人们使用的应用程序。普通用户不太可能意识到，当他们使用这些应用程序时，这些信息可能会被广播，尽管他们使用了这些应用程序。 完全按照设计工作

4.我们证明，应用程序识别过程是足够有效的，允许对多个设备进行实时监控。使用从训练数据中开发的分类器，一个活的、远程的侦测器。 开发了R程序，并对其在开放世界和封闭世界场景中的性能进行了评估.封闭世界显示了良好的性能(84%的准确率)，并展示了克服 无线加密带来的数据限制。此外，从设备样本(更容易收集)生成的签名，使其能够从外部优势点发挥作用的能力也得到了验证。 虽然在引入以前未见过的网络活动的开放世界场景中，准确率受到很大影响(67%)，但召回率很高，为86%(表示正确的标识)。 提供该应用程序的应用程序是活跃的)演示应用程序广播个人信息的能力，尽管WiFi加密。开放世界的假阳性率(总体上为38%，未见行为72%)。 )留下了很大的改进空间，但仍然显示出一个看似合理的威胁。

5.确定了应用程序、限制、改进的潜在途径和防止这些WiFi泄漏的策略。最后，我们评估了有兴趣的观察者进行公关所需的成本和努力。 对日常WiFi用户造成实际的隐私威胁。

1.3纸轮廓

下一节(第2节)总结了相关工作，为本研究提供了基础：无线网络安全、移动设备和应用程序隐私，以及仅使用si的信息推断。 去频道。第3节描述了移动应用程序的选择过程，它们的活动是如何测量的，并详细描述了能够在此基础上操作的随机森林分类器的构造。 一个没有特权的有利条件。第四节在对现实世界中的低成本硬件进行评估之前，报告了得到的分类器对我们的样本数据的准确性。第5节接着解释了 代表真实用户的人物角色和随后在封闭和开放世界场景中的测试，以演示应用程序使用检测如何泄露敏感信息。启示与实践 这些调查结果的一致性在第6节中讨论，然后在第7节结束本文件之前进行讨论。

1. 研究背景

2.1无线网络与安全

WiFi在发达国家几乎无处不在。它的广泛部署，无论是住宅、工业、商业和政府建筑，都是如此。无线网络如此流行以致于使用 Ising广播附近的AP以精确定位接收器的位置是现代移动设备的一个共同特征[1，2]。虽然广播范围很广，但加密是用来保持WiFi通信的。 阳离子机密。然而，假设不间断的加密隐藏了您的活动，这在很大程度上没有受到学术界的挑战。这当然不是给一个有动机的人的情况。 正如将要讨论的那样，执行这种分析所需的努力可能相当少。

为了兼容性的目的，网络协议在概念上是虽然在实践中并非总是这样-遵循现场视察模式[3]。该模型表示了如何将协议划分为具有特殊职责的层。上层协议的数据为encapsu-l。 在下面这些。WiFi标准(ieee 802.11[4])是从有线以太网标准(ieee 802.3[5])改编而来的，并重新定义了物理层(从铜线介质到2.4ghz雷达)。 o广播)和数据链路层(为新媒体定义适当的访问控制和冲突检测)。以上各层的协议完全不受影响，因此硬件和软件d。 对于每一个可能的协议组合都不需要重写。例如，无论是物理LAN还是WiFi I，Web浏览器都将使用HTTPoverTCP在IP上获取网页 Itlsquo;在较低层使用。基于同样的原因，支持互联网的智能手机应用程序也不知道它们是通过WiFi连接还是通过蜂窝数据网络连接。然而，这会导致 一种协议可以在其设计所依据的假设可能不再适用的环境中运行的情况。数据、活动模式或其他信息可以最初实现者不考虑的方式公开。

为了保密起见，WiFi网络应该在使用加密方案之前防止数据被直接读取。尽管加密的加入大大提高了安全性， WiFi仍然为窃听者提供了一个大而易接近的目标。通讯现在可以在很远的距离上被观察和记录，而物理访问和文字的电线-抽头就会被破坏。 d以前曾要求。有线等效隐私(WEP)是第一个广泛使用的WiFi加密方案，因此用词不当。物理和无线网络通信的安全性 NS一点也不等同。担保方案是否存在缺陷(就像WEP[7]中的情况一样)而原始的WPA[8]则可以方便地、远程地解码通信，而且通常是不带痕迹的。

在本文中，我们没有试图发现或利用漏洞来直接破解WiFi加密。相反，我们展示了什么是可以确定的，尽管加密按照设计完美地工作。在环境中 在正确实现加密的情况下，用户和网络运营商可以假定除非发现了秘密密钥，否则隐私和机密性就会得到保证。我们演示 情况并非如此。

2.2移动设备和移动应用程序隐私

存储在现代移动设备上的大量私人信息已经建立起来[9]。随着“哑巴手机”向智能手机的跃升，移动设备面临着与公关同样的威胁。 以个人电脑为目标，并对相同的个人资料进行保密。由于移动平台中添加了有用的服务，利用这些服务和存储的数据的恶意软件很快就会送到Foll。 现在。此恶意软件执行您期望的所有活动。例如，窃取个人数据、发送垃圾邮件或赎金。垃圾邮件业务模式的一个有趣的转变是创造收入。 通过拨打保费号码或发送短信[10]。同样，在移动设备上安装应用程序的倾向，而不是访问网站，加上易于使用的虚拟应用程序商店或市场，意味着。 在移动设备上安装软件很容易，而且很常规。这与传统的计算机形成了鲜明的对比，在传统计算机中，安装专门的软件仅仅是为了查看特定的新闻来源或检查we。 他看起来很牵强。由于个人信息和功能丰富，可供不受限制的方案使用，因此已作出很大努力建立权限系统。 规范应用程序行为[10，11]。

无可否认，现代移动设备是一个巨大的个人信息库。Seneviratne等人他们探索了这一事实，发现他们能够识别性别、宗教和种族等个人特征，准确率接近90%[12，13]。本文尝试了同样的推论，但没有特权访问移动设备的文件，甚至没有访问它的网络。 继续手术。我们必须首先尝试从完全加密的WiFi流量中识别应用程序。

这些设备的移动方面增加了进一步的隐私风险。最有效的路由网络通信方法依赖于发送方和接收方的简单和独特的识别。T型 Hese和类似的唯一标识符遍布无保护的网络通信[14]。即使在启用WiFi加密的外部优势点上，唯一标识设备的MAC地址是 仍然可以自由广播。近年来，人们对无线广播的商业兴趣已经激起，各公司认识到无线广播可能是数十亿美元客户的潜在巨大数据源。 关系管理市场。伦敦备受争议的“追踪箱”，其中包括在业主经过街头追踪他们的行动时，收集支持无线网络的设备标识符的硬件[15]。 NDWestfield集团使用手机标识符进行类似购物习惯分析的计划[16]。此外，移动设备也可以积极搜索熟悉的aps，并在这样做时可以。 广播最近使用的网络的名称(SSID)。它们可以使用相同的数据库来定位，这些数据库可以帮助移动gps导航来确定对t有重要意义的家庭、工作场所和其他位置。 移动设备的用户[17]。一次性网络ID将抑制这类分析[18]，虽然它会使在会话之间跟踪特定用户变得更加困难，但它不会影响 给出了本文的分析。

外部跟踪的隐私威胁和移动设备上个人数据的安全性常常被单独考虑。在我们的场景中，这两个关注点是结合在一起的。我们演示如何利用WiFi侧信道推断私有用户信息，而不需要在网络中或设备上设置特权位置。这就提供了保障措施 比如应用程序权限和加密无关。执行此分析的距离也可能比预期的要大得多。虽然大多数商品的WiFi设备都有一个Up的范围。 O 100米，这是与全向天线，包括需要发射。随着信号强度和方向天线的增加，WiFi网络已经得到了有效的点对点控制。 超过几百公里[19]。虽然大多数WiFi硬件当然无法做到这一点，但在我们的场景中，观察者只需要接收传输。

1. 方法

3.1移动应用程序选择

我们选择了34个应用程序，尽管使用了WiFi加密技术，但我们仍试图远程检测这些应用程序。在撰写本报告时，所选择的应用程序可以在它们的“顶级”免费应用程序列表中找到。 游戏商店类别。这并不是Android特有的，而且大多数这些应用程序在替代平台

剩余内容已隐藏，支付完成后下载完整资料

资料编号：[609475]，资料为PDF文档或Word文档，PDF文档可免费转换为Word