ITMI20130325A1 - Metodo per misurare e monitorare il livello di accesso a dati personali generati da risorse di un dispositivo d'utente - Google Patents
Metodo per misurare e monitorare il livello di accesso a dati personali generati da risorse di un dispositivo d'utenteInfo
- Publication number
- ITMI20130325A1 ITMI20130325A1 IT000325A ITMI20130325A ITMI20130325A1 IT MI20130325 A1 ITMI20130325 A1 IT MI20130325A1 IT 000325 A IT000325 A IT 000325A IT MI20130325 A ITMI20130325 A IT MI20130325A IT MI20130325 A1 ITMI20130325 A1 IT MI20130325A1
- Authority
- IT
- Italy
- Prior art keywords
- application
- resources
- data
- access
- applications
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims description 38
- 238000012544 monitoring process Methods 0.000 title claims description 5
- 230000035945 sensitivity Effects 0.000 claims description 34
- 238000004891 communication Methods 0.000 claims description 17
- 230000003993 interaction Effects 0.000 claims description 6
- 238000004590 computer program Methods 0.000 claims description 3
- 238000012545 processing Methods 0.000 claims description 3
- 230000008859 change Effects 0.000 description 12
- 230000006870 function Effects 0.000 description 11
- 238000009434 installation Methods 0.000 description 3
- 238000005259 measurement Methods 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000007423 decrease Effects 0.000 description 2
- 238000003780 insertion Methods 0.000 description 2
- 230000037431 insertion Effects 0.000 description 2
- 230000004807 localization Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 230000003542 behavioural effect Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 230000000875 corresponding effect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000000691 measurement method Methods 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/37—Managing security policies for mobile devices or for controlling mobile applications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2212/00—Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
- G06F2212/10—Providing a specific technical effect
- G06F2212/1032—Reliability improvement, data loss prevention, degraded operation etc
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
Description
DESCRIZIONE
Sfondo dell'invenzione
Oggigiorno c'Ã ̈ un grande aumento di dispositivi (molti dei quali sono personali), dotati di mezzi che generano molti dati mentre effettuano rilevazioni dell'ambiente circostante, interagiscono con l'utente, comunicano con risorse esterne, ecc.
Un esempio di tali dispositivi sono gli smartphone o i tablet: attualmente, ogni smartphone o tablet ha a bordo 6-8 sensori fisici (qui denominati come "risorse fisiche") e quasi un centinaio di virtuali ("risorse virtuali"). Le risorse fisiche sono, per esempio, l'accelerometro, il ricevitore GPS, il modulo di trasmissione NFC, ecc. Le risorse virtuali sono, per esempio, i software di gestione di account personali, di gestione della connessione Bluetooth, ecc (la maggior parte delle risorse virtuali sono software). Questo à ̈ vero non solo per i telefoni cellulari, in quanto, con l'avvento di dispositivi indipendenti dal sistemi operativo (come Android), ci sono tipi di dispositivi con capacità simili e altre nuove risorse: à ̈ il caso dei televisori collegati in rete, delle fotocamere di nuova generazione, di equipaggiamenti interattivi per auto, ecc.
I citati dispositivi ospitano servizi ed applicazioni di terze parti che hanno accesso alle risorse a bordo dei dispositivi: questi generano una quantità senza precedenti di dati che, dal momento che la maggior parte dei dispositivi sono pervasivi e personali, può essere critica dal punto di vista della privacy.
Nel documento di Adrienne Porter Felt, Kate Greenwood, David Wagner, "The Effectiveness of Application Permissions", University of California, Berkeley, USENIX Conference on Web Application Development(WebApps) 2011, sono state analizzate 956 applicazioni Android. Gli autori hanno osservato che il 93% delle applicazioni gratuite (per un totale di 856) e l'82% delle applicazioni a pagamento (per un totale di 100) hanno almeno un permesso pericoloso. Permessi pericolosi includono azioni che potrebbero costare denaro dell'utente o perdita di informazioni private. In particolare, gli autori mostrano che il permesso Internet à ̈ molto utilizzato, e, nella maggior parte delle applicazioni, questa autorizzazione potrebbe essere utilizzata per memorizzare informazioni personali provenienti dagli utenti.
Nel documento di W. Enck, P. Gilbert, B. Chun, LP Cox, J. Jung, P. McDaniel, e AN Sheth, "TaintDroid: An Information-Flow Tracking System for Realtime Privacy Monitoring on Smartphone", gli autori analizzano se e quali tipi di dati personali sono memorizzati da una applicazione. Essi hanno sviluppato un plugin del kernel per analizzare i dati inviati ad un server da tutte le applicazioni che hanno il permesso di connessione a Internet, insieme ad altri permessi, come la fotocamera, la localizzazione, ecc. Gli autori hanno trovato 358 applicazioni gratuite che richiedevano l'autorizzazione di connessione a Internet insieme ad altri permessi e ne hanno analizzate 20. Tra queste ultime, due hanno inviato le informazioni del telefono a server di contenuti, sette hanno inviato l'ID Dispositivo a server di contenuti e 15 hanno inviato la posizione a server di pubblicità . Così gli autori hanno dimostrato che una grande quantità di applicazioni potrebbe inviare dati personali per scopi diversi.
Nel documento di Adrienne Porter Felt, Elizabeth Ha, Serge Egelman, Ariel Haney, Erika Chin, e David Wagner “Android Permissions: User Attention, Comprehension, and Behavior†, viene analizzata l'attenzione e la comprensione degli utenti durante l'installazione di applicazioni. Solo il 17% dei partecipanti ha prestato attenzione ai permessi durante l'installazione. Solo il 3% degli intervistati via Internet ha potuto rispondere correttamente a tutte e tre le domande di comprensione di permesso. Questo indica che le attuali avvertenze di autorizzazioni Android non aiutano la maggior parte degli utenti a prendere decisioni di protezione corrette. Durante questo test, solo il 20% degli utenti à ̈ stato in grado di fornire dettagli sul motivo per cui non avevano installato un'applicazione. Inoltre, i partecipanti hanno dimostrato una comprensione molto bassa della concessione di autorizzazioni durante l'installazione.
WO 2012/109512 descrive sistemi e metodi per la regolamentazione dell'accesso alle risorse nell'esecuzione di un'applicazione. Viene invocata una applicazione di permessi. L'applicazione di permessi accede ad un archivio di informazioni comprendente una pluralità di permessi. Ogni permesso à ̈ associato ad una corrispondente risorsa in una pluralità di risorse del dispositivo. L'archivio di informazioni specifica quali applicazioni hanno il permesso di accedere a quali risorse del dispositivo. Viene eseguita un'applicazione sul dispositivo ed essa fa una richiesta di una risorsa mentre l'applicazione à ̈ in esecuzione. In risposta alla richiesta, l'applicazione di permessi determina se l'applicazione ha il permesso di accesso in fase di esecuzione (runtime) per utilizzare la risorsa. Quando l'applicazione ha il permesso di accesso runtime per utilizzare la risorsa, viene concesso l'accesso in fase di esecuzione per la risorsa. Quando l'applicazione non dispone dell'autorizzazione di accesso runtime per utilizzare la risorsa, non viene concesso l'accesso runtime per la risorsa, ma à ̈ consentito di continuare l'esecuzione sul dispositivo senza la risorsa richiesta.
Sommario dell'invenzione
La precedente panoramica dello stato della tecnica mostra che à ̈ stata studiata la questione della sicurezza di accesso alle risorse del dispositivo (ed ai dati generati dalle risorse del dispositivo) da parte delle applicazioni ospitate.
La presente invenzione non à ̈ principalmente diretta al problema della sicurezza, essendo diretta ad un metodo per fornire agli utenti di dispositivi l'indicazione del livello di accesso ai dati personali generati dalle risorse che equipaggiano il dispositivo.
Secondo una forma di realizzazione, il metodo della presente invenzione valuta il livello di accesso ai dati personali fornendo all'utente un indicatore numerico e/o grafico, che à ̈ indipendente dalla attuazione dei diritti di accesso, ed aiuta l'utente a capire quali dati sono stati utilizzati dalle applicazioni ospitate.
La gestione delle politiche di sicurezza non à ̈ lo scopo principale della presente invenzione, la presente invenzione concentrandosi sulla misura del livello di accesso ai dati personali generati da una risorsa acceduta.
Secondo un aspetto della presente invenzione, viene fornito un metodo per misurare e monitorare l'utilizzo dei dati personali generati dalle risorse di un dispositivo di utente da parte di applicazioni software installate sul dispositivo di utente. Il metodo può tener conto di come le risorse disponibili in un dispositivo vengono utilizzate (ad esempio, in termini di tempo e di frequenza), del numero di risorse accessibili e del tipo di dati generati da tali risorse.
Il metodo comprende:
a) per ciascuna di dette risorse, assegnare un valore di sensibilità di risorsa in una scala predeterminata di sensibilità , i valori di sensibilità di risorsa delle diverse risorse essendo atti a consentire una discriminazione di dette risorse in base alla sensibilità dei dati che esse generano;
b) per ciascuna di dette applicazioni, calcolare un rispettivo livello di accesso dell'applicazione a detti dati combinando attraverso una prima funzione predeterminata i valori di sensibilità di risorsa delle risorse che generano dati a cui accede detta applicazione;
c) calcolare un livello di accesso di dispositivo a detti dati da parte di dette applicazioni, in cui detto livello di accesso di dispositivo viene calcolato combinando attraverso una seconda funzione predeterminata i livelli di accesso di applicazione calcolati per le applicazioni installate sul dispositivo, e
d) associare a ciascuna applicazione una rispettiva indicazione del livello di accesso di dispositivo calcolato.
Il metodo può inoltre comprendere:
- per ciascuna di dette applicazioni, confrontare il rispettivo livello di accesso di applicazione calcolato con un primo valore di soglia predeterminato, e
- per ciascuna di dette applicazioni, presentare sul dispositivo d'utente una prima indicazione se il livello di accesso di applicazione calcolato à ̈ inferiore al primo valore di soglia, o una seconda indicazione se il livello di accesso di applicazione calcolato non à ̈ inferiore al primo valore di soglia.
Il metodo può inoltre comprendere:
- per ciascuna di dette applicazioni, confrontare il rispettivo livello di accesso di applicazione calcolato con un secondo valore di soglia predeterminato, superiore al primo valore di soglia, e
- per ciascuna di dette applicazioni, presentare sul dispositivo d'utente la seconda indicazione se il livello di accesso di applicazione calcolato à ̈ inferiore al secondo valore di soglia, o una terza indicazione se il livello di accesso di applicazione calcolato non à ̈ inferiore al secondo valore di soglia.
Il metodo può inoltre comprendere:
- definire almeno due distinti stati di funzionamento in cui una qualsiasi di dette applicazioni può essere, e
- ripetere le fasi da a) a d) della rivendicazione 1 ogni volta che una di tali applicazioni cambia il suo stato di funzionamento da uno all'altro di detti almeno due stati di funzionamento, o viceversa.
Detti almeno due stati operativi possono comprendere:
- un primo stato operativo, quando un'applicazione à ̈ in esecuzione sul dispositivo dell'utente e in una modalità di interazione con l'utente;
- un secondo stato di funzionamento, quando un'applicazione à ̈ in esecuzione sul dispositivo dell'utente ma non nella modalità di interazione con l'utente;
- un terzo stato di funzionamento, quando un'applicazione non à ̈ in esecuzione sul dispositivo dell'utente, ma à ̈ in ascolto di almeno una di dette risorse e può essere attivata quando si verifica un evento relativo alle risorse ascoltate;
- un quarto stato di funzionamento, quando un'applicazione non à ̈ in esecuzione e non à ̈ in ascolto di alcuna di tali risorse.
Detto calcolare, per ciascuna applicazione, il rispettivo livello di accesso di applicazione comprende preferibilmente dare più peso, in detta combinazione, ai valori di sensibilità di quelle risorse che consentono il collegamento e la comunicazione di dati dal dispositivo a una rete di dati esterna.
Dare più peso può comprendere elevare al quadrato i valori di sensibilità di quelle risorse che consentono il collegamento e la comunicazione di dati dal dispositivo a una rete di dati esterna.
Detta prima funzione predeterminata può comprendere una tra: un prodotto dei valori di sensibilità di risorse che generano i dati a cui si accede da parte di detta applicazione, una somma dei valori di sensibilità di risorse che generano i dati a cui si accede da parte di detta applicazione.
Detta seconda funzione predeterminata può comprendere un prodotto dei livelli di accesso di applicazione calcolati per le applicazioni installate sul dispositivo.
Secondo un altro aspetto della presente invenzione, Ã ̈ fornito un programma per elaboratore comprendente porzioni di codice di programma atte ad eseguire il metodo descritto sopra, quando il programma per elaboratore viene eseguito su un dispositivo di elaborazione dati.
Secondo un altro aspetto della presente invenzione, Ã ̈ fornito un dispositivo di utente, comprendente mezzi configurati per eseguire il metodo della presente invenzione.
Breve descrizione dei disegni
Questi ed altri caratteristiche e vantaggi della presente invenzione appariranno maggiormente evidenti dalla lettura della seguente descrizione dettagliata di alcune forme di realizzazione esemplificative e non limitative, facendo riferimento ai disegni allegati, in cui
la figura 1 illustra schematicamente gli elementi, ospitati su un dispositivo di utente, che sono considerati dal metodo della presente invenzione;
la figura 2 à ̈ un diagramma che mostra un possibile andamento nel tempo della quantità di dati acceduti, generati dalle risorse del dispositivo di utente, accessibili da applicazioni presenti nel dispositivo d'utente di figura 1;
le figure 3, 4 e 5 sono schermate esemplificative di un dispositivo di visualizzazione durante l'esecuzione di un'applicazione che comprende il metodo della presente invenzione.
Descrizione dettagliata di forme di realizzazione esemplificative dell'invenzione
Facendo riferimento ai disegni, la figura 1 mostra schematicamente gli elementi, ospitati su un dispositivo di utente 100, che sono considerati dal metodo della presente invenzione. Il dispositivo di utente 100 può essere ad esempio uno smartphone o un tablet.
Il dispositivo 100 comprende una unità di elaborazione (CPU) 105, un display 110, ad esempio uno schermo multi-tattile (multi-touch), risorse di memoria ROM e RAM (non mostrate), uno o più trasmettitori / ricevitori 115 (ad esempio per Wi-Fi, per reti cellulari 2g-3g-4g, per Bluetooth, per NFC).
Una "Risorsa" r1, r2, ..., rnà ̈ intesa come una componente fisica o virtuale (risorsa fisica o risorsa virtuale) del dispositivo 100, tale componente fisica o virtuale essendo in grado di generare dati d1, d2, d3,. .., dmper esempio rilevando l'ambiente circostante, interagendo con l'utente, comunicando con risorse esterne, ecc. Nel caso il dispositivo sia uno smartphone o un tablet, un esempio di risorsa fisica à ̈ l'accelerometro, il ricevitore GPS, il modulo di trasmissione NFC, ecc, mentre un esempio di risorsa virtuale à ̈ il gestore della connessione Bluetooth.
Una Lista delle Risorse del Dispositivo RD Ã ̈ la lista delle Risorse r1, r2, ..., rndisponibile su un dispositivo D, come il dispositivo di 100 [1]:
Ciascun Risorsa ri(i = 1-n) può generare molteplici dati. Ad esempio, facendo riferimento alla Figura 1, la risorsa r2genera dati d2e d3. La lista dei dati generati da una generica risorsa riviene chiamata Insieme dei Dati della Risorsa v(ri), ed à ̈ definita come segue.
Dato l'Insieme dei Dati del Dispositivo DD, che à ̈ la lista di tutti i possibili dati d1, d2, d3, ..., dmche possono essere generati dal dispositivo [2]:
DD = {d1, d2, d3, ..., dm}
l'Insieme dei Dati della Risorsa v(ri) di una data risorsa rià ̈ [2]:
DD
Gli Insiemi dei Dati delle Risrose v(ri) (i = 1 - n) di tutte le risorse r1, r2, ..., rndi un dispositivo D possono sovrapporsi, il che significa che un certo dato d1, d2, d3, ..., dmpuò essere generato da più risorse r1, r2, ..., rn.
I dati generati d1, d2, d3, ..., dmpossono essere raggruppati in classi di dati generati che si riferiscono a tipi di dati simili, ad esempio dati di POSIZIONAMENTO, dati di COMUNICAZIONE, ecc ( possono essere definite altre classi).
La tabella qui sotto mostra come un esempio di sottoinsieme di Risorse r1, r2, ..., rnpossano essere raggruppate in classi (ad esempio in base alla somiglianza dei dati generati d1, d2, d3, ..., dm):
Classe Risorsa Descrizione Permette l'accesso in lettura/scrittura alla Posizionamento ACCESS_CHECKIN_PROPERTIES tabella delle "proprietà " nel database checkin, per cambiare i valori che sono caricati.
Permette ad una applicazione di accedere ad una posizione ACCESS_COARSE_LOCATION approssimata derivata da sorgenti di localizzazione di rete quali torri di celle e Wi-Fi.
Permette ad una applicazione di accedere alla posizione precisa
ACCESS_FINE_LOCATION
proveniente da sorgenti di localilazzione quali GPS, torri di celle e Wi-FI. Permette ad una ACCESS_LOCATION_EXTRA_CO applicazione di accedere ad comandi extra di un MMANDS
provider di localizzazione.
Permette di abilitare/disabilitare le CONTROL_LOCATION_UPDATES notifiche di aggiornamento della posizione dal collegamento radio.
Permette ad una applicazione di creare ACCESS_MOCK_LOCATION finti provider di localizzazione a fini di test.
Permette ad una applicazione di iniziare una chiamata telefonica senza passare per
Comunicazione l'interfaccia utente di CALL_PHONE
composizione del numero per la conferma dell'esecuzione della chiamata da parte dell'utente.
Permette ad una applicazione di chiamare qualsiasi numero telefonico, inclusi numeri di emergenza, senza CALL_PRIVILEGED passare per l'interfaccia utente di composizione del numero per la conferma dell'esecuzione della chiamata da parte dell'utente.
Permette ad una applicazione di PROCESS_OUTGOING_CALLS monitorare, modificare o far abortire chiamate in uscita.
Permeyye ad una READ_SMS applicazione di leggere messaggi SMS.
Permette ad una applicazione di
RECEIVE_MMS monitorare messaggi MMS in entrata, di registrarli o di elaborare i medesimi.
Permette ad una applicazione di RECEIVE_SMS monitorare messaggi SMS in entrata, di registrarli o di elaborarli.
Permette ad una
RECEIVE_WAP_PUSH applicazione di monitorare messaggi WAP push in entrata.
Permette ad una SEND_SMS applicazione di inviare messaggi SMS.
Permette ad una WRITE_SMS applicazione di comporre messaggi SMS.
Permette ad una applicazione di leggere il READ_CALL_LOG
registro chiamate dell'utente.
Permette ad una READ_SOCIAL_STREAM applicazione di leggere il flusso sociale dell'utente. Permette ad una applicazione di aggiungere messaggi ADD_VOICEMAIL
vocali al sistema operativo (ad esempio Android).
Permette ad una USE_SIP applicazione di utilizzare il servizio SIP.
Permette ad una applicazione di scrivere WRITE_CALL_LOG
(ma non leggere) i dati dei contatti dell'utente.
Tabella 1: Sottoinsieme di Risorse
Un'Applicazione Ospitata a1, a2, ..., apà ̈ un servizio, fisicamente o virtualmente
ospitato sul dispositivo (ad esempio attraverso una connessione remota), che può accedere
alle risorse r1, r2, ..., rndel dispositivo D. L'elenco delle Applicazioni Ospitate di un
dispositivo D Ã ̈ chiamato Lista Applicazioni Dispositivo AD. Dato un dispositivo D, la
Lista Applicazioni Dispositivo ADÃ ̈ definita come l'insieme delle applicazioni a1, a2, ..., ap
ospitate sul dispositivo [4]:
La lista delle Risorse r1, r2, ..., rn(ed i relativi dati generati d1, d2, d3, ..., dm), che
possono essere accedute da un'Applicazione Ospitata a1, a2, ..., apsi chiama Rapporto
Applicazione w(ai). Data un'Applicazione Ospitata ai(i = 1 - p), il Rapporto Applicazione
à ̈ definito come [5]:
dove reg à ̈ la funzione di registrazione, che à ̈ la funzione applicata a ogni Risorsa richiesta da un'Applicazione Ospitata a1, a2, ..., apquando l'Applicazione Ospitata à ̈ installata sul dispositivo dell'utente, ovvero quando l'Applicazione Ospitata installata accede per la prima volta alla risorsa (a seconda dell'architettura del sistema operativo del dispositivo utente 100).
Da [5] si può dedurre che un'Applicazione Ospitata ai(i = 1 - p) ha accesso agli Insiemi di Dati di Risorsa v(ri) (i = 1 - n) di tutte le Risorse r1, r2, ..., rnnel proprio Rapporto Applicazione w(ai) [6]:
Si assume che al primo accesso ogni Applicazione Ospitata ai(i = 1 - p) dichiari esplicitamente il rispettivo Insieme di Dati di Risorsa v(ri) (i = 1 - n), e questo garantisce a quella Applicazione Ospitata l'accesso alla risorse elencate.
Procedure di sicurezza o tecnologie per evitare l'accesso fraudolento alle risorse del dispositivo possono essere previste, ma questa non à ̈ la preoccupazione della presente invenzione.
Un'Applicazione Ospitata a1, a2, ..., ap, in un istante di tempo generico t, può essere in quattro diversi stati:
- ATTIVO: se l'Applicazione Ospitata à ̈ in esecuzione e in una modalità di interazione con l'utente;
- IN ESECUZIONE: se l'Applicazione Ospitata à ̈ in esecuzione (può quindi effettivamente accedere a una risorsa), ma non in una modalità di interazione con l'utente - ad esempio, à ̈ in modalità di sottofondo (background);
- ASCOLTO: se l'Applicazione Ospitata non à ̈ in esecuzione, ma à ̈ registrata come "ascoltatrice" di alcune risorse (tutte o parte di quelle indicati nel Rapporto Applicazione della risorsa stessa), ovvero l'Applicazione Ospitata può essere attivata se si verifica un evento sulla risorsa ascoltata (ad esempio, quando una risorsa à ̈ abilitata sul dispositivo o genera dati);
- OFF: se l'Applicazione Ospitata non à ̈ in esecuzione e non à ̈ registrata come "ascoltatrice" di alcuna risorsa.
Il metodo di misura secondo una forma di realizzazione della presente invenzione presuppone che ogni Risorsa nella Lista Risorse Dispositivo RDsia associata ad un rispettivo Valore di Sensibilità di Risorsa. Il Valore di Sensibilità di Risorsa consente la discriminazione delle risorse r1, r2, ..., rnsulla base della sensibilità dei dati d1, d2, d3, ..., dmche esse generano in termini di privacy, accuratezza, ecc. Questo deriva dall'ipotesi che non tutti i dati hanno la stessa importanza per l'utente in diversi contesti (ad esempio, la posizione GPS può dire molto di più su un utente che i valori dell'accelerometro).
Il Valore di Sensibilità di Risorsa s(ri) di una risorsa rià ̈ un valore numerico in una scala di sensibilità S [7]:
tale che se s(ri)> s(rj), allora la Risorsa rigenera dati che sono più sensibili di quelli generati dalla Risorsa rjsecondo alcuni parametri, ad esempio privacy del proprietario del dispositivo. Ad esempio, facendo riferimento alla Tabella 1, la Risorsa "ACCESS_FINE_LOCATION" à ̈ caratterizzata da un valore più alto di sensibilità rispetto alla risorsa "USE_SIP": l'accesso alla posizione reale del dispositivo (e quindi del suo proprietario) à ̈ più sensibile, da una punto di vista della privacy, rispetto alla possibilità di abilitare il protocollo di comunicazione SIP.
La tabella seguente mostra un sottoinsieme di tutte le risorse disponibili r1, r2, ..., rn(colonna Risorse) raggruppate per classi (colonna Classi) e, per ogni Risorsa ri(i = 1 -n), un esempio di Valore di Sensibilità Risorsa associato s(ri):
Sensibilità Risorsa Classe Risorsa ri (i = 1-n)s(ri)
ACCESS_CHECKIN_PROPERTIES 3
ACCESS_COARSE_LOCATION 11
ACCESS_FINE_LOCATION 11 Posizionamento
ACCESS_LOCATION_EXTRA_COMMANDS 5
CONTROL_LOCATION_UPDATES 11
ACCESS_MOCK_LOCATION 1 CALL_PHONE 10 CALL_PRIVILEGED 10 PROCESS_OUTGOING_CALLS 10 READ_SMS 10 Comunicazione
RECEIVE_MMS 10 RECEIVE_SMS 10 RECEIVE_WAP_PUSH 3
SEND_SMS 1
WRITE_SMS 1
READ_CALL_LOG 10
READ_SOCIAL_STREAM 10
ADD_VOICEMAIL 1
USE_SIP 1
La scala di sensibilità S può essere globale o personalizzata a livello di utente, a livello di dispositivo, ecc, ed à ̈ legata al contesto della misura (es. privacy, tracciabilità , ecc.). In una forma di realizzazione della presente invenzione, smax= 100.
Misura del livello di accesso
Secondo la presente invenzione, viene misurato il livello di accesso ai dati personali.
In una forma di realizzazione della presente invenzione, il livello di accesso viene misurato a tre diversi livelli di granularità , cui nel seguito si farà riferimento come:
• livello di accesso ai Dati Personali da parte di un'Applicazione Ospitata;
• livello di accesso Istantaneo ai Dati Personali da parte del dispositivo;
• livello di accesso ai Dati Personali Globale da parte del dispositivo.
Il livello di accesso ai Dati Personali da parte di un'Applicazione Ospitata fornisce una posizione in classifica ad un'Applicazione Ospitata ai(i = 1 - p) in base al numero delle Risorse richieste dalla Applicazione Ospitata ed al Valore di Sensibilità Risorsa s(ri) (i = 1 - n) di tali Risorse.
Data un'Applicazione Ospitata ai(i = 1 - p) ed il relativo Rapporto Applicazione w(ai), il livello di accesso ai Dati Personali PA(ai) può essere definito come segue [8]:
dove rcà ̈ una Risorsa di comunicazione, cioà ̈ una risorsa che consente la connessione e la comunicazione dei dati dal dispositivo (ad esempio, la risorsa di gestione della Wi-Fi). Una risorsa di comunicazione tra quelle nel Rapporto Applicazione w(ai) amplifica l'accessibilità ai Dati Personali generati dal dispositivo D. Pertanto, nel calcolo del livello di accesso ai Dati Personali da parte di un'Applicazione Ospitata per una certa Applicazione Ospitata ai, alla presenza, nel Rapporto Applicazione w(ai) di tale Applicazione Ospitata, di una Risorsa di comunicazione rcpuò essere dato maggior peso, ad esempio elevando al quadrato i valori di sensibilità di tutte le Risorse necessarie per l'Applicazione Ospitata.
Più alto à ̈ il valore del livello di accesso ai Data Personali PA(ai) per una certa Applicazione Ospitata ai(i = 1 - p), più sensibile à ̈ l'applicazione.
Un livello di accesso ai Dati Personali da parte di una Applicazione Ospitata Normalizzato à ̈ una variante della misura introdotta sopra, che enfatizza il valore medio di sensibilità di tutte le Risorse utilizzate da un'Applicazione Ospitata, dando meno influenza ai valori di sensibilità delle Risorse più sensibili.
Data la definizione [8], il livello di accesso ai Dati Personali da parte di un'Applicazione Ospitata Normalizzato può essere calcolato come [9] segue:
dove |w(ai)| denota il numero di Risorse nel Rapporto Applicazione w(ai) della Applicazione Ospitata ai.
La classifica del livello di accesso ai Dati Personali da parte di un'Applicazione Ospitata [8], nonché il livello di accesso ai Dati Personali da parte di un'Applicazione Ospitata Normalizzato [9] possono essere valutati utilizzando una somma invece di un prodotto. In questo caso à ̈ ([8'] e [9']):
Tuttavia, l'uso del prodotto enfatizza il contributo delle Risorse più sensibili.
Le funzioni [8] e [8'] sono ancora valide se, al posto della funzione "log", Ã ̈ utilizzata una generica funzione f(x), tale che:
Il livello di accesso Istantaneo ai Dati Personali Accesso da parte del dispositivo à ̈ una variante di [8] e [9], che tiene conto del numero effettivo di volte che un'Applicazione Ospitata fa uso di una risorsa. Questa variante à ̈ applicabile a quei dispositivi che rendono accessibile il conteggio degli eventi di accesso.
Siano tl-1e tlgli istanti di tempo da prendere in considerazione nella misurazione, dove tlà ̈ un istante generico, tl-1à ̈ l'istante precedente, e Tlà ̈ la Finestra di Tempo tale che [10]:
Tl= [tl-1, tl], tl-1< tl
e sia count(ai, rk, Tl) il numero di accessi ad un Risorsa rkda parte di una Applicazione Ospitata ainella Finestra di Tempo Tl. Il livello di accesso Istantaneo ai Dati Personali Accesso da parte di un'Applicazione Ospitata presso all'istante tlà ̈ [11]:
Il livello di accesso Istantaneo ai Dati Personali da parte di un'Applicazione Ospitata all'istante tlà ̈ "ponderato", nel senso che i valori di Sensibilità Risorsa nelle formule vengono moltiplicati per un coefficiente che rappresenta il numero di accessi ai dati generati da una Risorsa nella Finestra di Tempo considerata. Pertanto, maggiore à ̈ il numero di volte che un'Applicazione Ospitata accede ai dati di una certa Risorsa, maggiore à ̈ il peso attribuito a quella Risorsa nel calcolo del livello di accesso Istantaneo ai Dati Personali da parte di un'Applicazione Ospitata.
Eventualmente, la Finestra di Tempo Tlpuò anche ridursi ad un istante di tempo, cioà ̈ tl-1= tl.
Il livello di accesso Istantaneo ai Dati Personali da parte del dispositivo indica, in un certo momento, lo stato di accesso ai dati personali in base alle Applicazioni Ospitate che sono attualmente in esecuzione.
Per un certo dispositivo D, avente una Lista Applicazioni Dispositivo AD, il livello di accesso Istantaneo ai Dati Personali da parte del dispositivo IDnell'istante di tempo considerato tl à ̈ calcolato come [12]:
o [13]:
o [14]:
a seconda del metodo utilizzato per calcolare il livello di accesso ai Dati Personali da parte di un'Applicazione Ospitata (vale a dire, a seconda che si utilizzi la formula [8] o la [9] o la [11] per calcolare il livello di accesso ai Dati Personali da parte di un'Applicazione Ospitata), dove tlappartiene a Tlcome in [10].
La misura di cui sopra à ̈ calcolata in base alle Applicazioni Ospitate che sono negli stati ATTIVO, IN ESECUZIONE o IN ASCOLTO, vale a dire in grado di accedere a una qualsiasi delle Risorse alle quali esse si sono registrate.
La misura del livello di accesso ai Dati Personali da parte del Dispositivo può anche essere globale, quindi non dipendente dell'istante di tempo in cui à ̈ calcolata, ma legata a tutta la vita di un dispositivo D. Date le stesse ipotesi di [12], [13] e [ 14], il livello di accesso ai Dati Personali Globale da parte del Dispositivo viene calcolato come [15]:
o [16]:
o [17]:
a seconda del metodo utilizzato per calcolare il livello di accesso ai Dati Personali da parte di un'Applicazione Ospitata. In [17] la Finestra di Tempo considerata Tlcoincide con l'intera vita del dispositivo.
Nel caso il valore risultante del livello di accesso Globale ai Dati Personali da parte del Dispositivo sia molto elevato, Ã ̈ possibile esprimere questo valore in decibel:
Il livello di accesso Globale ai Dati Personali da parte del Dispositivo à ̈ una misura più generale che fornisce un'indicazione sullo stato del dispositivo D.
La Rlassifica delle Applicazioni del Dispositivo à ̈ un elenco ordinato che indica la relazione tra le Applicazioni Ospitate su un dispositivo D sulla base del loro livello di accesso ai Dati Personali misurato.
Dato un dispositivo D e la sua Lista Applicazioni Dispositivo DA, la Classifica Applicazioni del Dispositivo DRÃ ̈ definita come [18]:
DR=a1,a2,...,an,∀a∈AD|PA(a1)>PA(a2)>... >PA( an) La Classifica Applicazioni Dispositivo calcolata può essere usato per mostrare agli utenti dei telefoni cellulari le applicazioni ospitate sul dispositivo ordinate in base al loro livello di accesso ai Dati Personali da parte di un'Applicazione Ospitata (come descritto in seguito).
Monitoraggio
E' possibile monitorare come le misure del livello di accesso Globale ai Dati Personali da parte del Dispositivo e del livello di accesso Istantaneo ai Dati Personali da parte del Dispositivo cambi nel tempo quando si verifica Evento Applicazioni Ospitate.
Un Evento Applicazioni Ospitate à ̈ un evento che modifica la Lista Applicazioni Dispositivo che à ̈ in un determinato stato. Il livelli di accesso Globale ai Dati Personali da parte del dispositivo misurato, e/o il livello di accesso Istantaneo ai Dati Personali da parte del dispositivo misurato cambieranno di conseguenza.
Ci sono cinque possibili Eventi Applicazioni Ospitate:
- INSERIMENTO
- CANCELLAZIONE
- AGGIORNAMENTO
- AVVIO
- STOP
L'evento INSERIMENTO si verifica quando si aggiunge una nuova Applicazione Ospitata nello stato OFF alla Lista Applicazioni Dispositivo.
Di conseguenza, la misura del livello di accesso Istantaneo ai Dati Personali da parte del dispositivo non cambia, ma la misura del livello di accesso Globale ai Dati Personali da parte del Dispositivo può aumentare.
Fatte le stesse ipotesi di [12], [13] e [14], essendo tel'istante in cui l'evento INSERIMENTO relativo ad un'Applicazione Ospitata a si verifica, e dato un istante t' tale che t' < te, Ã ̈:
dove dipende dal metodo utilizzato per il calcolo del livello di accesso ai Dati Personali da parte dell'Applicazione Ospitata:
L'evento CANCELLAZIONE si verifica quando una nuova Applicazione Ospitato nello stato OFF viene eliminato dalla Lista Applicazioni Dispositivo.
Di conseguenza, la misura del livello di accesso Istantaneo ai Dati Personali da parte del dispositivo non cambia, ma la misura del livello di accesso Globale ai Dati Personali da parte del dispositivo può diminuire.
Fatte le stesse ipotesi di [12], [13] e [14], essendo tel'istante in cui si verifica l'evento CANCELLAZIONE per un'Applicazione Ospitata, e dato un istante t' tale che t' < te, Ã ̈:
dove dipende dal metodo utilizzato per il calcolo del livello di accesso ai Dati Personali da parte di un'Applicazione Ospitata:
L'evento AGGIORNAMENTO si verifica quando una delle Applicazioni Ospitate nella Lista Applicazioni Dispositivo cambia in modo che le Risorse r1, r2, ..., rnda essa utilizzate cambiano.
Di conseguenza, la misura del livello di accesso Globale ai Dati Personali da parte del dispositivo cambierà ; la misura del livello di accesso Istantaneo ai Dati Personali da parte del dispositivo cambierà solo se l'aggiornamento dell'applicazione non à ̈ nello stato OFF quando si verifica l'evento.
Fatte le stesse ipotesi di [12], [13] e [14], essendo tel'istante in cui l'evento AGGIORNAMENTO relativo ad un'Applicazione Ospitata a ha luogo, e dato un istante t' tale che t' < te, Ã ̈:
se a à ̈ nello stato OFF a te
se a non à ̈ nello stato OFF a te
dove dipende dal metodo utilizzato per il calcolo del livello di accesso ai Dati Personali da parte di un'Applicazione Ospitata. à ̈ maggiore o minore di zero in dipendenza del fatto che il nuovo insieme di Risorse che l'Applicazione Ospitata a accede sia più o meno sensibile di quello vecchio.
L'evento AVVIO si verifica quando una delle Applicazioni Ospitate nella Lista Applicazioni Dispositivo cambia il suo stato da OFF a uno degli altri tre stati (ATTIVO, IN ESECUZIONE, IN ASCOLTO). Di conseguenza, la misura del livello di accesso Globale ai Dati Personali da parte del Dispositivo non cambierà , mentre la misura del livello di accesso Istantaneo ai Dati Personali da parte del Dispositivo cambierà .
Fatte le stesse ipotesi di [12], [13] e [14], essendo tel'istante in cui l'evento AVVIO relativo ad un'Applicazione Ospitata a si verifica, e dato un istante t' tale che t' < te, Ã ̈:
dove dipende dal metodo utilizzato per il calcolo del livello di accesso ai Dati Personali da parte di un'Applicazione Ospitata:
L'evento STOP si verifica quando una delle Applicazioni Ospitate nella Lista Applicazioni Dispositivo cambia il suo stato da uno dei tre stati ATTIVO, IN ESECUZIONE o IN ASCOLTO allo stato OFF. Di conseguenza, la misura del livello di accesso Globale ai Dati Personali da parte del dispositivo non cambierà , mentre la misura del livello di accesso Istantaneo ai Dati Personali da parte del dispositivo diminuisce.
Fatte le stesse ipotesi di [12], [13] e [14], essendo tel'istante in cui l'evento STOP relativo ad un'Applicazione Ospitata a si verifica, e dato un istante t' tale che t' < te, Ã ̈: dove dipende dal metodo utilizzato per il calcolo del livello di accesso ai Dati Personali da parte di un'Applicazione Ospitata:
Il grafico in figura 2 mostra un esempio di livello di accesso Globale ai Dati Personali da parte del Dispositivo (ID, indicato con GPDAL nel disegno) in funzione del Tempo, calcolato come in [15], quando un utente effettua una azione sulle applicazioni ospitate sul suo dispositivo D, in particolare quando il numero di Applicazioni Ospitate che accedono alle Risorse del suo dispositivo cambia. I valori di IDsono calcolati mediante la [15] e sono espressi in dB.
L'andamento della funzione GPDAL si spiega con i seguenti eventi esemplificativi:
- al tempo t = 10:00, l'utente disinstalla un'applicazione che utilizza una risorsa di comunicazione (evento CANCELLAZIONE);
- al tempo t = 13:00, l'utente installa un'applicazione che non fa uso di una risorsa di comunicazione (evento INSERIMENTO);
- al tempo t = 15:00, l'utente disinstalla un'applicazione che non fa uso di una risorsa di comunicazione (evento CANCELLAZIONE);
- al tempo t = 17:00, l'utente installa un'applicazione che utilizza una risorsa di comunicazione (evento INSERIMENTO);
- al tempo t = 18:00, l'utente disinstalla un'applicazione che utilizza una risorsa di comunicazione (evento CANCELLAZIONE).
Attività sperimentali
Il metodo della presente invenzione à ̈ stato incluso in un'applicazione Android, denominata "Privacy Owl".
Tale applicazione fornisce all'utente l'indicazione della quantità di dati condivisi con i fornitori delle applicazioni installate sul suo smartphone o tablet.
Figura 3, figura 4 e figura 5 mostrano alcune schermate del display 110 del dispositivo utente quando l'applicazione Privacy Owl à ̈ in esecuzione.
Figura 3 mostra una fotografia dello schermo della home page dell'applicazione Privacy Owl, che mostra il numero di applicazioni installate sul dispositivo utente e un termometro à ̈ correlato al valore calcolato del livello di accesso Global ai Dati Personali da parte del dispositivo, calcolato con la formula [15].
Selezionando "Modifica", l'utente può far commutare l'applicazione Privacy Owl tra modalità ATTIVA e modalità IN ESECUZIONE.
Selezionando "Dettagli", l'utente può visualizzare la lista delle applicazioni. Ogni applicazione Aiha il suo proprio logo e un'icona associata che (supponendo che il dispositivo utente disponga di un display 110 a colori) può essere rossa, gialla o verde; in figura 4 l'icona 405 associata ad ogni applicazione à ̈ rappresentata come un cerchio, e il colore rosso à ̈ rappresentato da linee oblique, il colore giallo à ̈ rappresentato da linee verticali, il colore verde à ̈ rappresentato da linee orizzontali. Il colore dell'icona associata ad una determinata applicazione à ̈ correlato al livello di accesso ai Dati Personali da parte dell'applicazione PA(Ai) per tale applicazione Aicalcolato con la formula [8]. La lista delle applicazioni visualizzate può prendere in considerazione la Classifica Applicazioni Dispositivo calcolata.
Se PA(Ai) à ̈ il livello di accesso ai Dati Personali da parte di una Applicazione Ospitata per l'applicazione Ai, si impostano due soglie di p1e p2, con p1< p2: il colore à ̈ assegnato ad un'applicazione Aicon la seguente formula:
rosso se PA(Ai) > p2
giallo se p1≤ PA(Ai) ≤ p2
verde se PA(Ai) < p1
Selezionando un'applicazione, l'utente può conoscere a quali dati l'applicazione può accedere (Figura 5), in base al suo Rapporto Applicazione.
Ogni Risorsa nel Rapporto Applicazione ha associata una icona 505 che può essere rossa, gialla o verde. Nella figura 5, l'icona 505 associata ad ogni applicazione viene rappresentata come un cerchio, e il colore rosso à ̈ rappresentato da linee oblique, il colore giallo à ̈ rappresentato da linee verticali, il colore verde à ̈ rappresentato da linee orizzontali.
Il colore à ̈ correlato al Valore di Sensibilità della Risorsa per quella risorsa; più alto à ̈ il Valore di Sensibilità della Risorsa, più scuro à ̈ il colore.
§ § § § §
La presente invenzione può essere utile per rendere gli utenti consapevoli della quantità e qualità dei dati memorizzati sui loro dispositivi personali e condivisi dalle applicazioni installate ed utilizzate. Le misure introdotte come descritto in precedenza, espresse da indicatori semplici, forniscono una modalità di facile comprensione unico per l'accesso a queste informazioni.
La presente invenzione ha diversi usi pratici.
Ad esempio, la presente invenzione può essere utilizzata per condurre uno studio per valutare le modifiche al comportamento degli utenti dovuto ad una tale consapevolezza, rendendoli disponibili a controllare i dati personali generati dalle risorse del loro dispositivo.
Lo studio può essere strutturato come segue:
1. l'utente à ̈ invitato a rispondere ad un sondaggio per indagare sulla sua consapevolezza sui problemi connessi alla privacy relativi all'utilizzo dell'applicazione di un dispositivo; 2. in un periodo di tempo definito, ad esempio un mese, vengono seguiti gli schemi di utilizzo, in termini di tempo, frequenza, ecc, delle applicazioni installate sul dispositivo dell'utente;
3. fornendo all'utente gli indicatori introdotti dall'invenzione (livelli di accesso ai Dati Personali Istantaneo e Globale), gli schemi di utilizzo, in termini di tempo, frequenza, ecc, delle applicazioni installate sul dispositivo dell'utente vengono nuovamente monitorati. In questo periodo, all'utente viene mostrato quali dati vengono utilizzati da ogni applicazione e quanti dati vengono condivisi a causa di una certa applicazione;
4. l'indagine di cui al punto 1 viene ripetuta.
Dal cambiamento comportamentale, questo studio permette di monitorare, mentre all'utente vengono forniti gli indicatori circa la quantità e la qualità dei dati personali utilizzati da una certa applicazione, se:
· l'applicazione à ̈ meno utilizzata;
· l'applicazione non à ̈ più utilizzata;
· l'applicazione viene disinstallata.
Questa informazione può essere utile ai gestori di negozi di applicazioni ed anche agli sviluppatori di applicazioni, per decidere se continuare o meno proporre un'applicazione per gli utenti, o se riprogettarla.
La soluzione secondo la presente invenzione può essere utilizzata vantaggiosamente in sistemi per condividere e scambiare dati personali degli utenti, in cui un operatore TLC ha un ruolo di garantire e certificare i dati scambiati, e il corretto scambio dei dati con terze parti.
Claims (11)
- RIVENDICAZIONI 1. Un metodo per misurare e monitorare l'utilizzo dIi dati (d1, d2, ..., dm) memorizzati su un dispositivo di utente da parte di applicazioni software installate sul dispositivo di utente (100), in cui detti dati sono generati da risorse (r1, r2, ..., rn) del dispositivo di utente, il metodo comprendendo: a) per ciascuna di dette risorse, assegnare un valore di sensibilità di risorsa in una scala predeterminata di sensibilità , i valori di sensibilità di risorsa delle diverse risorse essendo atti a consentire una discriminazione di dette risorse in base alla sensibilità dei dati che esse generano; b) per ciascuna di dette applicazioni, calcolare un rispettivo livello di accesso dell'applicazione a detti dati combinando attraverso una prima predeterminata funzione i valori di sensibilità di risorsa delle risorse che generano i dati a cui accede detta applicazione; c) calcolare un livello di accesso di dispositivo a detti dati da parte di dette applicazioni, in cui detto livello di accesso di dispositivo viene calcolato combinando attraverso una seconda funzione predeterminata i calcolati livelli di accesso di applicazione delle applicazioni installate sul dispositivo, e d) associare a ciascuna applicazione un rispettivo indicatore (405) del livello di accesso di dispositivo calcolato.
- 2. Il metodo della rivendicazione 1, comprendente inoltre: - per ciascuna di dette applicazioni, confrontare il rispettivo livello di accesso di applicazione calcolato con un primo valore di soglia predeterminato, e - per ciascuna di dette applicazioni, presentare sul dispositivo di utente una prima indicazione se il livello di accesso di applicazione calcolato à ̈ inferiore al primo valore di soglia, o una seconda indicazione se il livello di accesso di applicazione calcolato non à ̈ inferiore al primo valore di soglia.
- 3. Il metodo della rivendicazione 2, comprendente inoltre: - per ciascuna di dette applicazioni, confrontare il rispettivo livello di accesso di applicazione calcolato con un secondo valore di soglia predeterminato, superiore al primo valore di soglia, e - per ciascuna di dette applicazioni, presentare sul dispositivo di utente la seconda indicazione se il livello di accesso di applicazione calcolato à ̈ inferiore al secondo valore di soglia, o una terza indicazione se il livello di accesso di applicazione calcolato non à ̈ inferiore al secondo valore di soglia.
- 4. Il metodo di una qualsiasi delle rivendicazioni precedenti, comprendente inoltre: - definire almeno due distinti stati di funzionamento in cui una qualsiasi di dette applicazioni può essere, e - ripetere le fasi da a) a d) della rivendicazione 1 ogni volta che una di tali applicazioni cambia il proprio stato di funzionamento da uno all'altro di detti almeno due stati di funzionamento, o viceversa.
- 5. Il metodo della rivendicazione 4, in cui detti almeno due stati di funzionamento comprendono: - un primo stato operativo, quando un'applicazione à ̈ in esecuzione sul dispositivo di utente ed à ̈ in una modalità di interazione con l'utente; - un secondo stato operativo, quando un'applicazione à ̈ in esecuzione sul dispositivo di utente ma non nella modalità di interazione con l'utente; - un terzo stato operativo, quando un'applicazione non à ̈ in esecuzione sul dispositivo di utente, ma à ̈ in ascolto di almeno una di dette risorse e può essere attivata quando si verifica un evento relativo alle risorse ascoltate; - un quarto stato operativo, quando un'applicazione non à ̈ in esecuzione e non à ̈ in ascolto di alcuna di tali risorse.
- 6. Il metodo di una qualsiasi delle rivendicazioni precedenti, in cui detto calcolare, per ciascuna applicazione, il rispettivo livello di accesso di applicazione comprende dare più peso, in detta combinazione, ai valori di sensibilità di quelle risorse che consentono il collegamento e la comunicazione di dati dal dispositivo ad una rete dati esterna.
- 7. Il metodo della rivendicazione 6, in cui detto dare più peso comprende elevare al quadrato i valori di sensibilità di quelle risorse che consentono il collegamento e la comunicazione di dati dal dispositivo a una rete di dati esterna.
- 8. Il metodo di una qualsiasi delle rivendicazioni precedenti, in cui detta prima funzione predeterminata comprende una tra: un prodotto dei valori di sensibilità delle risorse che generano dati a cui accede detta applicazione, la somma dei valori di sensibilità delle risorse che generano dati a cui accede detta applicazione.
- 9. Il metodo di una qualsiasi delle rivendicazioni precedenti, in cui detta seconda funzione predeterminata comprende un prodotto dei livelli di accesso di applicazione calcolati per le applicazioni installate sul dispositivo.
- 10. Un programma per elaboratore comprendente porzioni di codice atte ad eseguire il metodo di una qualsiasi delle rivendicazioni precedenti quando il programma viene eseguito su un dispositivo di elaborazione dati.
- 11. Un dispositivo di utente (100) comprendente mezzi configurati per eseguire il metodo di una qualsiasi delle rivendicazioni da 1 a 9.
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| IT000325A ITMI20130325A1 (it) | 2013-03-05 | 2013-03-05 | Metodo per misurare e monitorare il livello di accesso a dati personali generati da risorse di un dispositivo d'utente |
| ES14714602.1T ES2642116T3 (es) | 2013-03-05 | 2014-03-03 | Procedimiento para medir y monitorizar los niveles de acceso a datos personales generados por recursos de un dispositivo de usuario |
| EP14714602.1A EP2965257B1 (en) | 2013-03-05 | 2014-03-03 | Method for measuring and monitoring the access levels to personal data generated by resources of a user device |
| US14/772,736 US9824210B2 (en) | 2013-03-05 | 2014-03-03 | Method for measuring and monitoring the access levels to personal data generated by resources of a user device |
| PCT/EP2014/054039 WO2014135485A1 (en) | 2013-03-05 | 2014-03-03 | Method for measuring and monitoring the access levels to personal data generated by resources of a user device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| IT000325A ITMI20130325A1 (it) | 2013-03-05 | 2013-03-05 | Metodo per misurare e monitorare il livello di accesso a dati personali generati da risorse di un dispositivo d'utente |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| ITMI20130325A1 true ITMI20130325A1 (it) | 2014-09-06 |
Family
ID=48227392
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| IT000325A ITMI20130325A1 (it) | 2013-03-05 | 2013-03-05 | Metodo per misurare e monitorare il livello di accesso a dati personali generati da risorse di un dispositivo d'utente |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US9824210B2 (it) |
| EP (1) | EP2965257B1 (it) |
| ES (1) | ES2642116T3 (it) |
| IT (1) | ITMI20130325A1 (it) |
| WO (1) | WO2014135485A1 (it) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103897066A (zh) | 2004-02-11 | 2014-07-02 | 安米林药品有限责任公司 | 具有可选择特性的杂合多肽 |
| KR101123549B1 (ko) | 2004-11-01 | 2012-04-18 | 아밀린 파마슈티칼스, 인크. | 비만 및 관련 장애의 치료 |
| EP2392595A1 (en) | 2005-02-11 | 2011-12-07 | Amylin Pharmaceuticals Inc. | GIP analog and hybrid polypeptides with selectable properties |
| BRPI0614649A2 (pt) | 2005-08-11 | 2011-04-12 | Amylin Pharmaceuticals Inc | polipeptìdeos hìbridos com propriedades selecionáveis |
| EP1922336B1 (en) | 2005-08-11 | 2012-11-21 | Amylin Pharmaceuticals, LLC | Hybrid polypeptides with selectable properties |
| NZ566763A (en) | 2005-08-19 | 2011-06-30 | Amylin Pharmaceuticals Inc | Exendin-4 for treating diabetes, obesity and reducing body weight |
| WO2007133778A2 (en) | 2006-05-12 | 2007-11-22 | Amylin Pharmaceuticals, Inc. | Methods to restore glycemic control |
| EP2650006A1 (en) | 2007-09-07 | 2013-10-16 | Ipsen Pharma S.A.S. | Analogues of exendin-4 and exendin-3 |
| US11743203B2 (en) * | 2016-02-17 | 2023-08-29 | Blackberry Limited | Managing resource access |
| US10198597B2 (en) * | 2016-05-27 | 2019-02-05 | International Business Machines Corporation | Managing mobile application security |
| JP2020500163A (ja) | 2016-10-20 | 2020-01-09 | ペプトロン インコーポレイテッド | 中枢神経系に神経保護ポリペプチドを送達する方法 |
| US10540210B2 (en) * | 2016-12-13 | 2020-01-21 | International Business Machines Corporation | Detecting application instances that are operating improperly |
| US11861024B1 (en) * | 2018-01-26 | 2024-01-02 | Wells Fargo Bank, N.A. | Systems and methods for data risk assessment |
| US11170102B1 (en) | 2019-02-13 | 2021-11-09 | Wells Fargo Bank, N.A. | Mitigation control of inadvertent processing of sensitive data |
| US11354433B1 (en) | 2019-03-25 | 2022-06-07 | Trend Micro Incorporated | Dynamic taint tracking on mobile devices |
| US11539705B2 (en) | 2020-02-14 | 2022-12-27 | The Toronto-Dominion Bank | Systems and methods for controlling third-party access of protected data |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100257577A1 (en) * | 2009-04-03 | 2010-10-07 | International Business Machines Corporation | Managing privacy settings for a social network |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070094281A1 (en) * | 2005-10-26 | 2007-04-26 | Malloy Michael G | Application portfolio assessment tool |
| US9317692B2 (en) * | 2009-12-21 | 2016-04-19 | Symantec Corporation | System and method for vulnerability risk analysis |
| US9215548B2 (en) * | 2010-09-22 | 2015-12-15 | Ncc Group Security Services, Inc. | Methods and systems for rating privacy risk of applications for smart phones and other mobile platforms |
| US9094291B1 (en) * | 2010-12-14 | 2015-07-28 | Symantec Corporation | Partial risk score calculation for a data object |
| US20120209923A1 (en) | 2011-02-12 | 2012-08-16 | Three Laws Mobility, Inc. | Systems and methods for regulating access to resources at application run time |
| KR101295709B1 (ko) * | 2011-08-24 | 2013-09-16 | 주식회사 팬택 | 백그라운드 프로세스에 대한 보안 정보 제공 장치 및 방법 |
| US9213729B2 (en) * | 2012-01-04 | 2015-12-15 | Trustgo Mobile, Inc. | Application recommendation system |
| US8832841B2 (en) * | 2012-05-22 | 2014-09-09 | Verizon Patent And Licensing Inc. | Mobile application security assessment |
| US20130340086A1 (en) * | 2012-06-13 | 2013-12-19 | Nokia Corporation | Method and apparatus for providing contextual data privacy |
-
2013
- 2013-03-05 IT IT000325A patent/ITMI20130325A1/it unknown
-
2014
- 2014-03-03 WO PCT/EP2014/054039 patent/WO2014135485A1/en active Application Filing
- 2014-03-03 ES ES14714602.1T patent/ES2642116T3/es active Active
- 2014-03-03 US US14/772,736 patent/US9824210B2/en active Active
- 2014-03-03 EP EP14714602.1A patent/EP2965257B1/en active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100257577A1 (en) * | 2009-04-03 | 2010-10-07 | International Business Machines Corporation | Managing privacy settings for a social network |
Non-Patent Citations (1)
| Title |
|---|
| ERIC STRUSE ET AL: "PermissionWatcher: Creating User Awareness of Application Permissions in Mobile Systems", 13 November 2012, AMBIENT INTELLIGENCE, SPRINGER BERLIN HEIDELBERG, BERLIN, HEIDELBERG, PAGE(S) 65 - 80, ISBN: 978-3-642-34897-6, XP047011126 * |
Also Published As
| Publication number | Publication date |
|---|---|
| ES2642116T3 (es) | 2017-11-15 |
| US20160012221A1 (en) | 2016-01-14 |
| EP2965257A1 (en) | 2016-01-13 |
| WO2014135485A1 (en) | 2014-09-12 |
| US9824210B2 (en) | 2017-11-21 |
| EP2965257B1 (en) | 2017-06-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| ITMI20130325A1 (it) | Metodo per misurare e monitorare il livello di accesso a dati personali generati da risorse di un dispositivo d'utente | |
| US11019114B2 (en) | Method and system for application security evaluation | |
| Gibler et al. | Androidleaks: Automatically detecting potential privacy leaks in android applications on a large scale | |
| KR101093459B1 (ko) | 이동 디바이스를 위한 애플리케이션 로깅 인터페이스 | |
| US9584964B2 (en) | Enforcement of proximity based policies | |
| US9495543B2 (en) | Method and apparatus providing privacy benchmarking for mobile application development | |
| US8646032B2 (en) | Method and apparatus providing privacy setting and monitoring user interface | |
| US9715421B2 (en) | Wrapped applications providing operational insight to users based on rules for acceptable operational state performance | |
| KR20220091367A (ko) | 하드웨어 및 소프트웨어를 보호하기 위한 장치, 시스템 및 방법 | |
| US10623417B1 (en) | Software development kit (SDK) fraud prevention and detection | |
| CN108804912A (zh) | 一种基于权限集差异的应用程序越权检测方法 | |
| KR20130116409A (ko) | 애플리케이션이 필요로 하는 권한을 진단하는 방법 및 장치 | |
| US9734307B2 (en) | User terminal interworking with peripheral device and method for preventing leakage of information using the same | |
| Jung et al. | Context-aware policy enforcement for android | |
| CN112463266A (zh) | 执行策略生成方法、装置、电子设备以及存储介质 | |
| US20170041344A1 (en) | Dynamic management of enterprise policies | |
| CN107567627A (zh) | 具有测试执行环境的装置 | |
| Tian et al. | Prihook: Differentiated Context-Aware Hook Placement for Different Owners' Smartphones | |
| Amirgaliev et al. | Android security issues | |
| Egelman et al. | Scaling Contextual Privacy to Mobile Device Manager (MDM) Environments | |
| Jiang | FLANDROID: Energy-Efficient Recommendations of Reliable Context Providers for Android Applications | |
| Crussell et al. | AndroidLeaks: Automatically Detecting Potential Privacy Leaks In Android Applications on a Large Scale. | |
| Conmy et al. | A Systematic Framework for the Assessment of Operating Systems | |
| Bae et al. | EVALUATION ISSUES FOR UBIQUITOUS COMPUTING | |
| Fisher | Privacy-preserving event-sharing android app implementation and testing |