An effective security warning approach for malware attacks on mobile devices

Abstract

Today, mobile devices are widely spread, because they o er lots of functions. However, these devices are also valuable targets of cyber-criminals, because they store huge amounts of personal data. One instrument of attackers to gather these data is malware. However, today mobile devices are also used in private environments for remote control of coupled systems, such as mobile robots. So malware on a mobile device could spread to a coupled system and cause malfunctions, which could potentially impact users' health. This thesis focuses on scenarios, in which humans and technical systems are interacting with each other, so called human-machine-interaction (HMI) scenarios. Non-professional environments of HMI scenarios are researched, where lay users have full control over their system and interact with modern technical systems. In cases humans interact with technical systems it is to ensure that humans are not threatened by the technology. Beside security prevention and detection strategies, warnings are one option to help users to protect themselves against malware incidents. A challenge in this case are the considerable expertise and e ort to use and con gure technical systems. Lay users could often not use them o ered design possibilities of the technical system, because of their nescience. In this thesis a warning approach is introduced, which is so designed, that lay users could understand the warning information and handle the instructions for technical design. That includes the clear separation of warnings in di erent views, simple texts for personal risks, personal consequences of a malware attack, and simple expressed instructions to minimise or prevent consequences of malware attacks, respectively. Today, there exist no adequate user-centred malware warnings on mobile devices, because these applications focus the protection of the system not the user. Furthermore, the research eld of security warnings is relatively new. Most warning research results are published after the year 2009 and often focus browser warnings (e.g. malware, SSL). This thesis want to ll this research gap by introducing a new e ective malware warning approach. The four research questions for this thesis are: How are current mobile malware warnings designed? Which personal consequences may malware attacks have to users of mobile devices? How does an e ective malware warning concept to be designed to ful l the needs of speci c user-groups of mobile devices? How does an e ective malware warning concept to be evaluated to measure the warning e ectiveness? To answer these questions the state-of-the-art of security warnings in general and malware warnings on mobile devices are intensively researched. Furthermore, a new warning approach is created, which adapts Wogalter's safety warning concept to raise warning e ectiveness with user-group speci c personal information. Users are warned about personal risks and personal consequences of malware attacks. Amongst personal information also instructions, an established education method, are included into the warnings. Instructions should support lay users to minimise or impede their personal consequences of malware attacks against mobile devices iii and their coupled systems. Furthermore, multimodal feedback (visual, acoustic, haptic) is used to design di erent risk levels and the general warning information. Amongst the new warning design concept also an own evaluation concept for the both tested warning instances is created. The two warning instances for user-groups (generic users and primary-school children) are evaluated using user studies to nd indicators for their practical relevance. The evaluation concept in this thesis is based on state-of-the-art concepts for userinterfaces, which is adapted to speci c test scenarios and test groups of malware warnings on mobile devices. Standard statistical analysis are used to nd indicators for the practical relevance of evaluation results. The results of the introduced e ective security warning approach are discussed using the human-in-the-loop security framework (HITL) of Cranor to rank the received results and show possibilities of improvements. The evaluation results of the two warning test cases show tendencies, that partly the warning e ectiveness can be increased using the new warning approach. Nevertheless, future studies are necessary to validate the generalisation of the evaluation results. Furthermore, this work shows future possible usage of the new warning concept.

Heutzutage sind mobile Geräte weit verbreitet, da sie eine Vielzahl an Funktionen bieten. Aber diese Geräte sind auch lohnende Ziele für Cyberkriminelle, da sie große Datenmengen (z.B. personenbezogene Daten) speichern. Schadsoftware (Malware) ist ein Werkzeug für Angreifer an diese Daten zu gelangen. Nichtsdestotrotz, werden mobile Geräte auch in privaten Bereichen zum Beispiel für die Fernsteuerung von mit ihnen gekoppelten Geräten eingesetzt. Ein Beispiel sind mobile Roboter. So könnte sich Schadsoftware von einem mobilen Gerät auf das damit verbundene System ausbreiten und Fehlfunktionen verursachen, die potentiell der Gesundheit von Nutzern schaden könnte. Diese wissenschaftliche Arbeit fokussiert Szenarien, in denen Menschen und technische Systeme miteinander interagieren, so genannte Mensch-Maschine-Interaktions-Szenarios (humanmachine- interaction, HMI). Es werden nicht-professionelle Umgebungen von HMI-Szenarios untersucht, wo Laien die volle Kontrolle über ihr System haben und mit modernen technischen Systemen interagieren. In diesen Fällen der Mensch-Maschine-Interaktion ist sicherzustellen, dass Menschen nicht von der Technik gefährdet werden. Neben den Security-Präventionsund Detektionsstrategien sind Warnmeldungen eine Möglichkeit, dass Nutzer sich selbst gegen Malwarevorfälle schützen können. Eine Schwierigkeit ist hierbei, dass es oft mit erheblichen Sachverstand und Aufwand verbunden ist, technischen Systeme zu bedienen und einzustellen. Laien können daher oftmals aufgrund ihrer Unwissenheit die ihnen angebotenen Gestaltungsmöglichkeiten der Technik nicht nutzen. In dieser Arbeit wird daher ein Warnmeldungsansatz vorgestellt, der so gestaltet ist, das Laien-Nutzer ihn verstehen und die Anweisungen zur Technikgestaltung umsetzen können. Dazu gehören die klare Aufteilung der Warnmeldungen in verschiedene Sichten, mit einfachen Texten zu persönlichen Risiken, persönlichen Konsequenzen des Schadsoftwareangriffs bzw. einfach formulierten Instruktionen zur Verhinderung der Konsequenzen. Derzeit existieren keine angemessenen nutzerzentrierten Malwarewarnmeldungen auf mobilen Geräten, da diese Anwendungen den Schutz des Systems und nicht der Nutzer fokussieren. Weiterhin ist das Forschungsfeld der Security-Warnmeldungen noch ziemlich jung. Die meisten Forschungsergebnisse wurden nach 2009 veröffentlicht und fokussieren oft Browser-Warnungen (z.B. Malware, SSL). Diese Arbeit möchte diese Forschungslücke füllen und stellt einen neuen effektiven Security-Warnmeldungsansatz vor. Die vier Forschungsfragen dieser Arbeit sind: - Wie sind aktuelle mobile Malwarewarnungen gestaltet? - Welche persönlichen Konsequenzen könnten Malwareangriffe für Nutzer mobiler Geräte haben? - Wie sollte ein effektives Malwarewarnungskonzept gestaltet werden, um die Bedürfnisse bestimmter Nutzergruppen mobiler Geräte zu erfüllen? - Wie sollte ein effektives Malwarewarnungskonzept evaluiert werden, um die Warnmeldungseffizienz messen zu können? Um diese Fragen zu beantworten, wurde der Stand der Technik der aktuellen Sicherheitswarnungen generell und der Malwarewarnungen auf mobilen Geräten intensiv erforscht. Weiterhin wurde ein neues Warnmeldungskonzept kreiert, welches Wogalter's Safety Warnmeldungsansatz adaptiert, um die Effektivität von Warnungen für nutzergruppen-spezifische persönliche Informationen zu erhöhen. Nutzer werden vor persönlichen Risiken und persönlichen Konsequenzen von Malwareangriffen gewarnt. Dabei werden neben den persönlichen Informationen auch Anweisungen, eine etablierte Lehrmethode, in den Warnungen verwendet. Diese sollen Nicht-Experten dabei unterstützen persönliche Konsequenzen von Malwareangriffen auf mobile Geräte und ihrer gekoppelten Systeme zu minimieren oder zu verhindern. Weiterhin, wird ein multimodales Feedback (visuell, akustisch, haptisch) verwendet, um verschiedene Risikostufen und Informationen in Warnungen darzustellen. Ebenfalls wurde ein eigenes Evaluationskonzept für beide getesteten Warnungmeldungsinstanzen kreiert. Die realisierten Warnmeldungen für beide Nutzergruppen (generischer Nutzer und Grundschulkinder) wurden mit Nutzerstudien evaluiert, um Hinweise für deren praktische Relevanz zu finden. Das Evaluationskonzept dieser Arbeit basiert auf Stand-der-Technik Konzepten für Nutzerschnittstellen. Diese wurden für die bestimmten Evaluationsszenarien und Testgruppen der Schadsoftwarewarnungen für mobile Geräte angepasst. Etablierte statistische Analysen wurden verwenden, um Hinweise für die praktische Relevanz der Evaluationsergebnisse zu finden. Die Ergebnisse der Evaluation werden anhand des human-in-the-loop security framework (HITL) von Cranor diskutiert, um die erreichten Ergebnisse zu bewerten und Verbesserungsmöglichkeiten aufzuzeigen. Die Evaluierungsergebnisse der zwei getesteten Warnmeldungsinstanzen zeigen tendenziell, dass die Effektivität der Warnungen teilweise verbessert werden konnte. Allerdings sind zukünftig umfangreichere Studien nötig, um eine Generalisierung der Ergebnisse zu validieren. Weiterhin werden zukünftige Verwendungsmöglichkeiten des neuen Warnmeldungskonzepts aufgezeigt.