Kullanıcı kişisel verilerinde platform bağımsız güvenlik

Abstract

Günümüzde mobil aygıtlar, hayatımızın bir çok alanında aktif olarak kullanılmaya başlanmıştır. Taşınabilir formda ve gündelik hayata tümleşik biçimde kullanılan bu aygıtlar artan hesaplama kapasiteleri ile kişisel bilgisayarların yerini almaya başlamışlardır. Bu bağlamda kullanıcıların gün geçtikçe daha önemli bilgilerini barındıran bu aygıtlar için güvenlik önemli bir sorundur. Yazılım ve donanım mimarilerinde tam olarak standartlaşmaya gidilememiş olması, uygulamaların yüksek yetkilerle sisteme yüklenmesi, uygulama dükkanları tipi yazılım üretim ve tüketim süreçlerinin henüz oturmamış olması gibi etmenler yüzünden mobil platformlarda güvenlik sorunlarının artarak yaşanacağını öngörülmektedir. Bu çalışmada mobil platformlarda karşılaşılan güvenlik problemlerinin sebepleri incelenmiş, boyutları ortaya konulmuş ve bir çözüm önerisi getirilmiştir. Örnek platform olarak gittikçe artan pazar payı ile baskın hale gelmeye başlayan Android işletim sistemi ele alınmış ve Android mimari yapılanması içinde tüm uygulama türleri için geçerli olabilecek bir çözüm önerisi olarak PIPSU(Personel Security For User Private Data) ortaya konulmuştur.PIPSU ile mobil platform kullanıcılarının kişisel bilgilerinin, kullanıcı kontrolü olmaksızın kullanılmasının önüne geçilmesini hedeflenmiştir.PIPSU, kullanıcı kişisel bilgilerinin iki katmanda güvenli şekilde saklamayı hedefleyen bir çözüm önerisidir. Önerilen güvenlik yaklaşımı mimari olarak mobil ortam istemcisi (PIPSU-L) ve bulut tabanlı sunucu (PIPSU-C) biçiminde yapılandırılmıştır. PIPSU-L ile fiziksel mobil aygıt üzerindeki kişisel bilgilerin kullanımı, kontrolü ve yapılandırılması, PIPSU-C ile de, kişisel bilgilerin mobil ortam bağımsız olarak güvenli şekilde saklanması hedeflenmiştir. PIPSU-L sahip olduğu Launcher yapısı ile mobil ortam kullanıcılarının kullanım kiplerini değiştirmeden, kişisel verileri önce aygıt üzerinde geliştirilen depolama çözümüne, daha sonrada bu verileri farklı mobil ortamlara taşıyabilmek amacıyla PIPSU-C bileşenine yönlendirmektedir. Bu çalışma kapsamında yapılan analizler sonucu ortaya çıkan çözüm modeli ile kullanıcı kişisel bilgilerinin güvenli şekilde mobil platformda kullanılabilmesi hedeflenmiştir. PIPSU'nun en önemli artılarından biri, getirdiği yüksek güvenlik seviyesinin kullanıcıların mobil aygıtları ile gündelik kullanım alışkanlıklarını ve etkileşim kiplerini değiştirmek zorunda kalmadan etkili kılmasıdır. Bu durum getirilen önerinin önemli bir güvenlik çözümü olmasının dışında pratik ve ticari uygulanabilirliği açısından önem arz etmektedir.

Mobile devices nowadays are signaling the start of a new era in personal computing. These devices, with their increasing computational capabilities, easy-to-carry form factors and always-on network connections are heavily integrated into our daily lives.It can easily be forecasted that in near future they will replace traditional personal computing devices such as PCs and regular laptops. In that respect, the characteristics of the data these devices carry is evolving from simple contact lists to all forms of critical and/or confidential personal data.However, this increasing responsibility assigned to mobile devices in terms of keeping personal data is not supported by enough security measures and serious threats exist for the casual users. Hardware and software architectures still being in the process of standardization, applications being installed with high authorization, low quality and non-monitored software development environment led by the app stores are among the factors that contribute to the security problems faced by the users.In this thesis, security threats to user private data on mobile platforms examined in all relevant aspects and a solution architecture is proposed. Among many mobile platforms currently exist today, with its dominating and increasing market share Android mobile OS is chosen as the implementation platform for our proposed solution PIPSU.PIPSU aims to prevent any access to private data without user approval.PIPSU architecture is based on a mobile client (PIPSU-L) and a cloud based server (PIPSU-C). Due to the way PIPSU operates, it provides a high level protection for the user private data without affecting the interactivity mode of the user with the mobile device. This fact makes an important distinction between PIPSU and similar mobile data security solutions in terms of practical usability.