Valutazione Sistematica ed Empirica dei Requisiti di Sicurezza e Privacy nelle Applicazioni Android in Ambito Sanitario.

Abstract

Le applicazioni di salute mobile (mHealth) hanno trasformato l'erogazione dell'assistenza sanitaria, ma introducono rischi significativi per la privacy a causa della condivisione non autorizzata di dati sanitari sensibili con servizi di terze parti. Questa tesi presenta un framework automatizzato per il rilevamento di violazioni della privacy nelle applicazioni sanitarie Android, concentrandosi sulla fuga di dati verso terze parti attraverso librerie di analisi, pubblicità e tracciamento.

Il framework combina l'analisi statica delle tracce utilizzando FlowDroid con la generazione automatizzata di sorgenti e destinazioni, l'ispezione della privacy e la convalida dinamica in fase di esecuzione. Abbiamo sviluppato nuovi meccanismi per identificare i metodi di accesso ai dati sanitari specifici dell'applicazione attraverso un'analisi basata su parole chiave e per rilevare i punti di esfiltrazione dei dati verso terze parti tramite il fingerprinting delle librerie. La valutazione empirica di 114 applicazioni sanitarie F-Droid ha rivelato significative lacune in termini di privacy: il 58,8% conteneva librerie di tracciamento di terze parti, il 48,1% presentava flussi di dati sanitari verso terze parti e il 30,4% delle applicazioni che trasmettevano dati sanitari non disponeva di adeguate informative sulla privacy. Il framework raggiunge un tasso di completamento dell'analisi del 94,7% con un'accuratezza di classificazione del 92%, dimostrando la scalabilità per audit della privacy su larga scala.

Questo lavoro fornisce un'infrastruttura essenziale per la verifica della privacy, la conformità normativa e lo sviluppo di applicazioni di salute mobile che preservino la privacy, dimostrando che la privacy nella salute mobile dipende in modo cruciale dal controllo dei flussi di dati di terze parti.

Mobile health (mHealth) applications have transformed healthcare delivery, but introduce significant privacy risks through unauthorized sharing of sensitive health data with third party services. This thesis presents an automated framework for detecting privacy violations in Android healthcare applications, focusing on third party data leakage through analytics, advertising, and tracking libraries. The framework combines static taint analysis using FlowDroid with automated source and sink generation, privacy inspection, and dynamic runtime validation. We developed novel mechanisms for identifying application specific health data access methods through keyword driven analysis and detecting third party data exfiltration points through library fingerprinting. Empirical evaluation of 114 F-Droid health applications revealed significant privacy gaps: 58.8 percent contained third party tracking libraries, 48.1 percent exhibited health data flows to third parties, and 30.4 percent of applications transmitting health data lacked adequate privacy disclosures. The framework achieves a 94.7 percent analysis completion rate with 92 percent classification accuracy, demonstrating scalability for large scale privacy auditing. This work provides essential infrastructure for privacy auditing, regulatory compliance verification, and privacy preserving mobile health development, contributing evidence that mobile health privacy critically depends on controlling third party data flows.