Melhore os controles de privacidade do usuário em aplicativos móveis

Resumo do Problema

Garantir a privacidade do usuário e a proteção de dados em aplicativos móveis é complexo. Os desafios decorrem de vários fatores, incluindo controle e visibilidade inadequados para os usuários sobre como aplicativos e serviços acessam seus dados. Essa complexidade surge de várias questões que não são totalmente abordadas, como gerenciamento de acesso por bibliotecas de terceiros, controle detalhado de concessão de permissões e oferta de opções de consentimento parcial.

Racional

Os aplicativos móveis enfrentam lacunas significativas no controle de privacidade, incluindo visibilidade limitada sobre o acesso a dados pessoais por bibliotecas de terceiros, opções de consentimento binárias e falta de controles detalhados para o usuário. Esses desafios exigem o desenvolvimento de mecanismos mais sofisticados e centrados no usuário para gerenciar a privacidade. Ao integrar controles de privacidade contextuais, princípios de privacidade desde a concepção e interfaces amigáveis, é possível capacitar os usuários a ajustarem suas permissões dinamicamente, tomando decisões informadas e protegendo melhor seus dados pessoais.

Solução

Desenvolver mecanismos centrados no usuário para gerenciar a privacidade em aplicativos móveis. Esses mecanismos fornecem controle granular sobre permissões de aplicativos e compartilhamento de dados, oferecem opções de consentimento parcial e usam interfaces intuitivas, baseadas em privacidade por design. Juntos, eles aumentam a autonomia e a visibilidade dos usuários sobre como os dados pessoais são acessados e usados por aplicativos e bibliotecas de terceiros, abordando preocupações de privacidade de maneira dinâmica e eficaz.

Chitkara et al. [1] introduziram o ProtectMyPrivacy (PmP) para Android, focando em distinguir entre acessos de dados nativos do aplicativo e os de bibliotecas de terceiros. Como principal característica, o PmP oferece controle contextual sobre o compartilhamento de dados para minimizar as decisões necessárias, reduzindo assim a fadiga de decisão do usuário. O PmP utiliza o sistema de permissões do Android e o framework Xposed para monitoramento e controle em tempo real, permitindo ações como permitir, negar ou simular o acesso a dados. O backend do PmP coleta decisões do usuário e comportamentos de aplicativos, aprimorando a gestão de privacidade através da compreensão contextual. O aplicativo minimiza a fadiga de decisão do usuário ao gerenciar acessos de bibliotecas comuns de terceiros, reduzindo a exposição desnecessária de dados.

Bock, Chowdhury e Momen [2] introduziram um aplicativo móvel que incorpora um botão "Talvez", oferecendo aos usuários um novo recurso de consentimento parcial para permissões de acesso a dados. Essa abordagem permite que os usuários concedam acesso temporário aos seus dados, aprimorando os controles de privacidade ao permitir que os usuários reavaliem as permissões ao longo do tempo. Implementada no Android, essa solução explora a aceitação do usuário e a praticidade do acesso condicional, visando equilibrar funcionalidade e privacidade. Ao permitir que os usuários naveguem na escolha muitas vezes binária de consentimento, o aplicativo oferece uma opção diferenciada para gerenciar preferências de privacidade dinamicamente, refletindo uma abordagem mais realista para a gestão e controle de dados pessoais.

Ataei, Degbelo e Kray [3] introduziram uma interface de usuário projetada para gerenciar configurações de privacidade de localização. Esta interface é baseada em teoria de privacidade, princípios de privacidade desde a concepção e princípios gerais de design de interfaces de usuário. Ela permite que os usuários controlem quando, com quem e onde suas informações de localização são compartilhadas através de controles visuais intuitivos e ícones. A interface enfatiza a gestão de privacidade detalhada, permitindo que os usuários definam controles de privacidade baseados em tempo, distância e relacionamentos. Integrando esses controles diretamente em um aplicativo de serviço baseado em localização (LBS), visa aumentar a autonomia e a privacidade do usuário, tornando mais simples para os usuários gerenciarem suas preferências de privacidade de localização diretamente de seus dispositivos móveis.

Aydin et al. [4] apresentaram uma estrutura de aprimoramento de privacidade para aplicativos Android chamada VisiDroid, focando no controle do usuário sobre dados pessoais compartilhados com bibliotecas de publicidade e análise. Ela opera em três fases: análise offline para rastrear fluxos de dados e contextos de interface de usuário, configuração visual permitindo que os usuários definam preferências de privacidade por widget, e instrumentação de código para aplicar essas preferências anonimizando dados antes de serem enviados. Este último passo garante que as preferências de privacidade do usuário sejam aplicadas substituindo dados reais por valores anonimizados antes de serem enviados em solicitações de anúncios ou análise. A abordagem visa minimizar os possíveis efeitos colaterais na funcionalidade do aplicativo que podem surgir da modificação dos dados usados por essas solicitações.

Quay-de la Vallee, Selby e Krishnamurthi [5] propuseram um assistente de gerenciamento de permissões que ajuda a gerenciar permissões após a instalação. Para economizar tempo e atenção dos usuários, o assistente PerMission classifica os aplicativos instalados por suas permissões, listando primeiro as com pior classificação. Ele guia os usuários a gerenciarem as permissões dos aplicativos através das configurações do dispositivo, já que o assistente não pode ajustar diretamente as configurações de outros aplicativos por motivos de segurança do sistema operacional.

Fawaz e Shin [6] propuseram uma solução para melhorar a privacidade de localização em smartphones Android. Os autores introduzem um sistema que utiliza técnicas de ocultação e ofuscação para proteger os dados de localização dos usuários contra rastreamento não autorizado, perfilamento e identificação. Este sistema permite que os usuários mantenham a funcionalidade dos serviços baseados em localização, enquanto reduzem significativamente o risco de violações de privacidade. A solução proposta opera em tempo real, ajustando dinamicamente o nível de privacidade de localização com base no contexto e nas preferências do usuário. Ele decide inteligentemente quando e como ocultar ou ofuscar os dados de localização, garantindo mínima interrupção na funcionalidade do aplicativo. O sistema é projetado para ser amigável ao usuário, proporcionando uma experiência contínua sem exigir muita intervenção do usuário.

Plataformas: dispositivos móveis

Exemplo

Visão geral do aplicativo PmP <a href="#section1">[1]</a>.

Visão geral do aplicativo PmP [1]. (Ver em tamanho maior)

Interface do aplicativo protótipo usando consentimento parcial <a href="#section2">[2]</a>.

Interface do aplicativo protótipo usando consentimento parcial [2]. (Ver em tamanho maior)

A interface de usuário para gerenciamento de configuração de privacidade da localização <a href="#section3">[3]</a>.

A interface de usuário para gerenciamento de configuração de privacidade da localização, a partir da esquerda: (a) principal interface de usuário; (b) interface de usuário para 'quem compartilhar'; (c) ajuste de restrição de tempo; (d) feedback visualizado sobre uma restrição de tempo ativada [3]. (Ver em tamanho maior)

A interface de configuração do VisiDroid <a href="#section4">[4]</a>.

A interface de configuração do VisiDroid [4]. (Ver em tamanho maior)

Assistente PerMission <a href="#section5">[5]</a>.

Página inicial do assistente PerMission [5]. (Ver em tamanho maior)

Prompt do LP-Guardian <a href="#section6">[6]</a>.

Esquerda: Quando o aplicativo acessa a localização pela primeira vez, o LP-Guardian solicita que o usuário defina a regra de anonimização do aplicativo com duas opções: "Não fazer nada" ou "Ocultar-me". A escolha de "Ocultar-me" ativa o mecanismo de anonimização apropriado. Direita: Quando um aplicativo tenta acessar uma nova localização, o LP-Guardian solicita ao usuário uma decisão [6] (Ver em tamanho maior)

Casos de uso
  • Facilitando o gerenciamento dinâmico e flexível de permissões.
  • Permitir que os usuários controlem e minimizem quais informações são compartilhadas com base em seus níveis de conforto.
  • Empoderar os usuários através da concessão de permissões personalizável.
  • Aprimorar o gerenciamento de privacidade e a proteção de dados em dispositivos móveis.
  • Auxiliar os usuários a controlar melhor a concessão de permissões em aplicativos móveis.
Vantagens

  • Oferece aos usuários insights melhores sobre como seus dados são acessados ​​e usados, aumentando potencialmente a conscientização sobre privacidade. A solução foi implantada e avaliada com usuários reais, demonstrando sua praticidade e eficácia na redução de vazamentos de privacidade para bibliotecas de terceiros. Além disso, ao focar em bibliotecas de terceiros populares comuns em muitos aplicativos, o PmP reduz o número de decisões de privacidade que os usuários precisam tomar, simplificando a experiência do usuário. Ele fornece controle granular sobre dados sensíveis à privacidade, distinguindo entre acessos de aplicativos e bibliotecas [1].
  • O botão "Talvez" introduz uma abordagem diferenciada para concessão de permissão. Ele permite aos usuários mais controle sobre seus dados, fornecendo acesso temporário a aplicativos e aprimorando o gerenciamento de privacidade. Muitos participantes de um estudo com usuários expressaram interesse em usar o botão "Talvez" em seus próprios dispositivos, indicando uma demanda por controles de privacidade mais flexíveis além das opções binárias de permitir/negar. Ele foi usado com mais frequência para permissões como memória e contatos, destacando sua potencial eficácia para gerenciar o acesso a tipos de dados mais sensíveis. Os participantes também valorizaram o controle e a proteção da privacidade em detrimento da facilidade de uso, indicando uma forte preferência por recursos que aprimoram a privacidade, mesmo que possam complicar um pouco a experiência do usuário. O estudo também descobriu que a maioria dos participantes não considerou solicitações recorrentes de consentimento parcial como irritantes, sugerindo que os usuários estão abertos a interações mais frequentes se isso significar melhor controle de privacidade [2].
  • A interface de usuário para controle refinado de configurações de privacidade de localização foi bem recebida em um estudo com usuários, atendendo às expectativas dos mesmos para gerenciar a privacidade de localização. Os usuários expressaram um forte desejo de controlar com quem eles compartilham sua localização, especialmente no caso de empresas desconhecidas [3].

Desvantagens

  • Apesar de suas vantagens, 80,6% dos participantes não usaram o botão "Talvez", indicando desafios na adoção e uma necessidade de mais educação do usuário. A configuração padrão de um dia pode ter influenciado seu uso, indicando que opções de duração personalizáveis ​​poderiam melhorar sua utilidade [2].
  • Soluções como a PmP requerem dispositivos que passaram por um processo de 'rooting' (processo que permite obter permissões de administrador no dispositivo), limitando seu uso a usuários tecnicamente experientes e apresentando riscos de segurança [1]. Outras, como o Assistente de Permissão, não podem editar diretamente as configurações de outros aplicativos devido a restrições de segurança do sistema operacional, exigindo que os usuários ajustem as permissões manualmente nas configurações do dispositivo [5].
  • Restrições de compartilhamento baseadas em tempo e espaço foram usadas com menos frequência do que o esperado, indicando a necessidade de melhorar sua apresentação ou compreensão do usuário. Além disso, o ambiente de laboratório e os cenários hipotéticos podem não refletir totalmente o comportamento do mundo real, limitando a generalização das descobertas [3].

Escolhas de Privacidade

Considerando o espaço de design para opções de controle [7], esta diretriz pode ser aplicada nas seguintes dimensões:

  • Contextualizadas
    Particularmente relevante para soluções como a de Ataei, Degbelo e Kray [3], que oferecem controle granular sobre o compartilhamento de dados com base no contexto do aplicativo ou na situação do usuário. Por exemplo, permitir acesso a dados de localização somente quando o aplicativo estiver em uso ou fornecer permissões temporárias se encaixa nessa categoria. Essas soluções adotam o princípio de integridade contextual ao permitir que os usuários tomem decisões de privacidade que sejam sensíveis ao contexto, aprimorando sua capacidade de alinhar práticas de compartilhamento de dados com suas expectativas de privacidade.
  • Escolhas binárias
    Inicialmente, a maioria das permissões de aplicativos móveis segue um modelo de escolha binária, onde os usuários concedem ou negam permissão para acesso a dados (por exemplo, acesso a localização e contatos). Algumas soluções visam refinar esse modelo oferecendo controles mais matizados, mas ainda operam dentro de uma estrutura com algum nível de tomada de decisão binária, como optar por entrar ou sair de atividades específicas de processamento de dados.
  • Escolhas múltiplas
    Soluções como PmP [1] e VisiDroid [4] expandem além do modelo binário ao oferecer aos usuários múltiplas escolhas para gerenciar seus dados. Por exemplo, permitir que os usuários decidam a granularidade dos dados de localização compartilhados com aplicativos ou gerenciem permissões com base no contexto de uso do aplicativo introduz uma configuração de privacidade de múltiplas opções que se alinha com esta subdimensão.

  • No momento oportuno
    Muitas soluções propõem fornecer opções de privacidade quando uma prática de dados específica está prestes a ocorrer, como quando um aplicativo está prestes a acessar dados de localização ou outras informações confidenciais. Essa abordagem é particularmente evidente em soluções que oferecem controle granular sobre permissões de aplicativos ou introduzem mecanismos para informar os usuários sobre as implicações de conceder acesso aos seus dados.
  • Sob demanda
    Os usuários podem buscar e modificar ativamente as configurações de privacidade conforme necessário, com o suporte de soluções que fornecem interfaces abrangentes de gerenciamento de privacidade de aplicativos. Isso permite que os usuários tomem decisões informadas conforme sua necessidade, em vez de ficarem limitados à configuração inicial ou notificações em tempo oportuno (just-in-time).
  • Sensível ao contexto
    Algumas soluções oferecem escolhas de privacidade com reconhecimento de contexto do usuário ou aplicativo. Por exemplo, as configurações de privacidade podem ser ajustadas com base no tipo de dados acessados ​​ou nas bibliotecas de terceiros envolvidas. Essa abordagem se alinha com a entrega de escolhas de privacidade que são mais significativas e adaptadas aos riscos de privacidade específicos presentes em um determinado contexto.
  • Na configuração inicial
    Embora não seja o foco principal dessas soluções, alguns aspectos do controle de privacidade podem ser ajustados na configuração inicial, como durante a instalação de um aplicativo ou na primeira vez que um recurso é acessado.

  • Visual
    Esta diretriz apresenta soluções que dependem fortemente de interfaces visuais para comunicar opções e controles de privacidade ao usuário. Isso inclui usar texto para descrever permissões e escolhas de privacidade, ícones para representar diferentes tipos de dados ou permissões e interfaces de usuário gráficas para configurar definições de privacidade.
  • Combinada
    Os usuários podem inicialmente configurar suas configurações de privacidade usando interfaces visuais, mas subjacentes a essas escolhas poderiam estar configurações legíveis por máquina que os sistemas usam para configurar preferências de privacidade automaticamente. Além disso, considerando futuras extensões ou integrações, essas soluções poderiam incorporar feedback auditivo ou tátil para alertas ou lembretes relacionados a escolhas de privacidade, aumentando assim a conscientização e o controle do usuário.

  • Feedback
    As soluções discutidas aplicam a subdimensão Feedback para garantir que os usuários saibam o status de suas escolhas de privacidade. No PmP [1], os usuários recebem feedback imediato sobre suas escolhas de privacidade por meio da interface do aplicativo. Na solução de consentimento parcial [2], os usuários que escolhem a opção "Talvez" para permissões de acesso a dados são informados sobre a natureza temporária de seu consentimento e por quanto tempo ele será válido.
  • Aplicação
    Algumas das soluções discutidas também lidam com a aplicação das decisões de privacidade dos usuários. No caso do PmP [1] e do VisiDroid [4], os sistemas aplicam decisões de privacidade bloqueando ou modificando os dados acessados ​​por aplicativos e bibliotecas de terceiros com base nas preferências do usuário.
  • Apresentação
    As escolhas de privacidade sempre têm uma apresentação que envolve um sistema que fornece informações claras e facilmente compreensíveis aos usuários sobre possíveis práticas de dados, as escolhas de privacidade disponíveis e como comunicar as decisões sobre essas escolhas, muitas vezes incorporando vários componentes e integrando-se com avisos de privacidade relacionados, exigindo consideração cuidadosa de dimensões de design, como tempo, canal e modalidade [5].

  • Primário
    As soluções envolvem interação direta entre o usuário e o sistema (por exemplo, aplicativos móveis) onde as escolhas de privacidade são incorporadas. Por exemplo, as ferramentas de gerenciamento de privacidade integradas em aplicativos ou sistemas operacionais permitem que os usuários controlem permissões e configurações de privacidade diretamente por meio da interface do aplicativo ou do sistema operacional. Essa integração garante que as escolhas de privacidade sejam parte da interação imediata do usuário com o sistema, aumentando a relevância contextual e a facilidade de uso.

Controle

Esta diretriz apresenta soluções que abordam principalmente o atributo de privacidade de controle [8]. Todas as soluções discutidas visam aprimorar o controle dos usuários sobre seus dados, permitindo que eles gerenciem permissões de forma mais granular e tomem decisões informadas sobre o compartilhamento de dados. Outros atributos de privacidade relacionados:

As soluções discutidas geralmente abordam o equilíbrio entre a funcionalidade do aplicativo e a privacidade, a fim de garantir que os usuários não comprometam sua privacidade em troca da funcionalidade.

Todas as soluções discutidas visam aumentar a transparência sobre como os aplicativos acessam e usam dados pessoais, fornecendo aos usuários mais informações e insights sobre as práticas de processamento de dados.

Algumas soluções como VisiDroid [4] e ProtectMyPrivacy (PmP) [1] envolvem mecanismos para pseudonimizar dados do usuário para impedir a identificação direta.

Referências

[1] Saksham Chitkara, Nishad Gothoskar, Suhas Harish, Jason I. Hong, and Yuvraj Agarwal (2017). Does this App Really Need My Location? Context-Aware Privacy Management for Smartphones. Proc. ACM Interact. Mob. Wearable Ubiquitous Technol. 1, 3, Article 42, 2017, 22 pages https://doi.org/10.1145/3132029

[2] Sven Bock, Ashraf Ferdouse Chowdhury, and Nurul Momen (2021). Partial Consent: A Study on User Preference for Informed Consent. In: Stephanidis, C., et al. HCI International 2021 - Late Breaking Papers: Design and User Experience. HCII 2021. Lecture Notes in Computer Science(), 2021, vol 13094. Springer, Cham. https://doi.org/10.1007/978-3-030-90238-4_15

[3] Mehrnaz Ataei, Auriol Degbelo, and Christian Kray (2018). Privacy theory in practice: designing a user interface for managing location privacy on mobile devices, Journal of Location Based Services, 2018, 12:3-4, 141-178. https://doi.org/10.1080/17489725.2018.1511839

[4] Aydin, Abdulbaki, David Piorkowski, Omer Tripp, Pietro Ferrara, and Marco Pistoia (2017). Visual configuration of mobile privacy policies. In Fundamental Approaches to Software Engineering: 20th International Conference, FASE 2017, Held as Part of the European Joint Conferences on Theory and Practice of Software, ETAPS 2017, Uppsala, Sweden, April 22-29, 2017, Proceedings 20, 2017, 338-355.Visual Configuration of Mobile Privacy Policies. In: Huisman, M., Rubin, J. (eds) Fundamental Approaches to Software Engineering. FASE 2017. Lecture Notes in Computer Science(), vol 10202. Springer, Berlin, Heidelberg. https://doi.org/10.1007/978-3-662-54494-5_19

[5] Hannah Quay-de la Vallee, Paige Selby, and Shriram Krishnamurthi (2016). On a (Per)Mission: Building Privacy Into the App Marketplace. In Proceedings of the 6th Workshop on Security and Privacy in Smartphones and Mobile Devices (SPSM '16). Association for Computing Machinery, New York, NY, USA, 63–72. https://doi.org/10.1145/2994459.2994466

[6] Kassem Fawaz and Kang G. Shin (2014). Location Privacy Protection for Smartphone Users. In Proceedings of the 2014 ACM SIGSAC Conference on Computer and Communications Security (CCS '14). Association for Computing Machinery, New York, NY, USA, 239–250. https://doi.org/10.1145/2660267.2660270

[7] Yuanyuan Feng, Yaxing Yao, and Norman Sadeh (2021). A Design Space for Privacy Choices: Towards Meaningful Privacy Control in the Internet of Things. In CHI Conference on Human Factors in Computing Systems (CHI ’21), May 8–13, 2021, Yokohama, Japan. ACM, New York, NY, USA, 16 pages. https://doi.org/10.1145/3411764.3445148

[8] Susanne Barth, Dan Ionita, and Pieter Hartel (2022). Understanding Online Privacy — A Systematic Review of Privacy Visualizations and Privacy by Design Guidelines. ACM Comput. Surv. 55, 3, Article 63 (February 2022), 37 pages. https://doi.org/10.1145/3502288