Promova a tomada de decisão automatizada para controles de privacidade de usuário aprimorados em aplicativos móveis

Resumo do Problema

Os usuários enfrentam desafios na gestão eficaz das permissões de aplicativos. Esse problema decorre de diversos fatores, como a compreensão limitada do usuário, inúmeros pedidos de permissão, falta de conscientização contextual, e decisões estáticas e binárias dessas permissões. Pedidos frequentes de permissão e a necessidade de tomar decisões constantes sobre esses pedidos podem levar à fadiga do usuário, fazendo com que aceitem permissões indiscriminadamente ou ignorem configurações importantes de privacidade. Encontrar um equilíbrio entre proteger a privacidade do usuário e garantir uma experiência contínua e amigável é desafiador, pois controles de privacidade excessivamente restritivos ou intrusivos podem prejudicar a funcionalidade do aplicativo.

Racional

Ao aproveitar a tomada de decisão automatizada, as soluções visam reduzir o fardo do usuário, aprimorar a proteção da privacidade e garantir que as decisões de permissão estejam alinhadas de perto com as preferências e necessidades contextuais do usuário. Essa abordagem dinâmica e personalizada para a gestão da privacidade fornece aos usuários melhor controle e compreensão de como seus dados são acessados e compartilhados, promovendo um ambiente móvel mais seguro e amigável.

Solução

Promover sistemas automatizados, centrados no usuário e conscientes do contexto para ajudar os usuários a gerenciar suas permissões de aplicativos de forma eficaz. Wijesekera et al. [1] apresentaram um novo sistema de gestão de privacidade para Android que utiliza sinais contextuais para prever dinamicamente as preferências de privacidade do usuário. Este sistema aborda as limitações do modelo de solicitação no primeiro uso (AOFU), que não leva em conta os contextos variáveis em pedidos de permissão subsequentes. Ele equilibra a usabilidade com a proteção da privacidade ao usar prompts infrequentes para treinar novamente o modelo de aprendizado de máquina, garantindo mínima interrupção na experiência do usuário.

Rashidi et al. [2] propôs o DroidNet, um framework de controle de permissões para Android que utiliza crowdsourcing para ajudar os usuários a tomar decisões informadas sobre permissões de aplicativos. O DroidNet opera em modo "probatório" para novos aplicativos, onde as permissões não são concedidas de imediato. Em vez disso, ele fornece recomendações com base nas decisões de usuários especialistas. Um algoritmo de classificação de especialização usando um modelo de inferência Bayesiana transicional é usado para identificar usuários especialistas. O sistema oferece recomendações em tempo real sobre solicitações de permissão, ajudando usuários inexperientes a tomarem decisões mais seguras.

Gao et al. [3] apresentaram o AutoPer+, um sistema autônomo de recomendação de permissões para Android que utiliza processamento de linguagem natural (NLP) e aprendizado de máquina para ajudar os usuários a tomarem decisões de permissão. O AutoPer+ analisa descrições de aplicativos para determinar a necessidade das permissões, usando um modelo de múltiplos tópicos e aprendizado profundo semi-supervisionado com redes Long Short-Term Memory (LSTM) para identificar aplicativos semelhantes e seus usos de permissão. O sistema fornece recomendações (Permitir, Negar, Perguntar) junto com explicações para ajudar os usuários a entender a lógica por trás de cada decisão.

Liu et al. [4] introduziram um Assistente de Privacidade Personalizado (PPA) para permissões de aplicativos móveis, projetado para ajudar os usuários a gerenciar o grande número de decisões de permissão que precisam tomar. O PPA prevê preferências de privacidade ao fazer algumas perguntas aos usuários e combiná-los com perfis de privacidade derivados de dados do mundo real.

Kim, Ko e Kim [5] introduziram o modelo Qualidade das Informações Privadas (QoPI), projetado para fornecer controles de privacidade granulares e dinâmicos para aplicativos móveis. O modelo QoPI define vários tipos e níveis de qualidade de informações privadas e incorpora propriedades contextuais que afetam as decisões de privacidade. Usando este modelo, os usuários podem gerenciar suas configurações de privacidade de forma mais precisa de acordo com suas necessidades e o contexto em que o aplicativo é usado. O modelo prevê controles de privacidade apropriados com base no comportamento do usuário, melhorando a precisão e a eficiência da gestão de privacidade em comparação com abordagens binárias e estáticas tradicionais.

Olejnik et al. [6] introduzem o SmarPer, um mecanismo avançado de permissão para Android projetado para fornecer decisões de permissão em tempo de execução, conscientes do contexto e automáticas. O SmarPer visa abordar as limitações das políticas de permissão estáticas ao prever decisões dos usuários usando um modelo de regressão linear bayesiana. Ele também inclui um recurso de ofuscação de dados para oferecer aos usuários um meio-termo entre permitir e negar permissões. Embora não utilize crowdsourcing, ele emprega modelos avançados para fazer recomendações de privacidade em nível de especialista.

Wijesekera et al. [7] investigaram a viabilidade de permissões concedidas dinamicamente em dispositivos móveis, focando em alinhar essas permissões com as preferências dos usuários. Os autores conduziram um estudo longitudinal de campo com 131 participantes para analisar decisões de privacidade contextuais e desenvolveram um modelo de aprendizado de máquina para prever decisões dos usuários. O modelo detecta mudanças no contexto e infere preferências de privacidade com base nas decisões e comportamento anteriores dos usuários.

Liu et al. [8] apresentaram o PriVs, um sistema de recomendação de permissões de privacidade discreto para aplicativos móveis que equilibra privacidade e usabilidade. O PriVs usa dados de crowdsourcing para gerar recomendações personalizadas de privacidade para os usuários. O sistema coleta as configurações de privacidade e feedback dos usuários para refinar continuamente as recomendações. Ele emprega métodos de filtragem colaborativa para fazer recomendações de permissões de privacidade e permite que os usuários aprovem, rejeitem ou aprovem temporariamente as configurações sugeridas.

Kaur, Echizen e Kumar [9] propuseram um modelo de agente inteligente projetado para proteger a privacidade de localização dos usuários de smartphones. Este agente atua como um proxy virtual, gerenciando a liberação e distorção de dados de localização com base em preferências definidas pelo usuário e informações contextuais. Utilizando redes neurais, o agente aprende com o comportamento do usuário para prever e ajustar dinamicamente as configurações de privacidade. Ao introduzir perturbações espaciais e temporais, o agente minimiza o risco de rastreamento contínuo e inferência não autorizada de dados, garantindo uma proteção robusta da privacidade enquanto mantém a funcionalidade dos serviços baseados em localização.

Esses sistemas propostos na pesquisa de apoio desta diretriz utilizam várias técnicas como crowdsourcing, aprendizado de máquina, processamento de linguagem natural (NLP) e filtragem colaborativa para fornecer recomendações de privacidade personalizadas e dinâmicas, que se alinhem com as preferências e comportamentos dos usuários. Frameworks como o DroidNet [2] e o PriVs [8] utilizam dados de crowdsourcing para reunir opiniões de especialistas e feedback dos usuários, fornecendo recomendações de permissões em tempo real com base no conhecimento e nas preferências coletivas. Os sistemas propostos por Wijesekera et al. [1][7] usam sinais contextuais e aprendizado de máquina para prever decisões dos usuários com alta precisão. O AutoPer+ [3] utiliza redes LSTM e NLP para recomendações autônomas de permissões. O Assistente de Privacidade Personalizado (PPA) [4] usa aprendizado de máquina para desenvolver perfis de privacidade e oferecer recomendações personalizadas. O modelo QoPI [5] define vários níveis de privacidade e propriedades contextuais para gestão dinâmica da privacidade. O SmarPer [6] usa regressão linear bayesiana para prever decisões dos usuários e oferece uma opção de ofuscação. O agente de dados inteligente [9] utiliza redes neurais para aprender com o comportamento do usuário e ajustar dinamicamente as configurações de privacidade.

Plataformas: dispositivos móveis

Exemplo

Interface do DroidNet <a href="#section2">[2]</a>.

Esquerda: modo de teste e instalação confiável; Meio: usuários selecionam recursos a serem monitorados; Direita: prompt de concessão de permissão, com uma sugestão do DroidNet [2]. (Ver em tamanho maior)

Interface de recomendação AutoPer+  <a href="#section3">[3]</a>.

Interface de recomendação AutoPer+ [3]. (Ver em tamanho maior)

Gerenciamento de permissões e lembrete diário de privacidade <a href="#section4">[4]</a>.

Esquerda: gerenciamento de permissões; Direita: lembrete diário de privacidade, que inclui informações sobre frequência de acesso e finalidade [4]. (Ver em tamanho maior)

Interface de recomendação QoPI <a href="#section5">[5]</a>.

Esquerda: um cenário de exemplo para obter uma recomendação de QoPI; Direita: seleção manual de um nível de QoPI para as informações de localização [5]. (Ver em tamanho maior)

Prompt de permissão do SmarPer <a href="#section6">[6]</a>.

Topo: Prompt de permissão do SmarPer. Embaixo: Informações sobre o efeito dos diferentes tipos de decisão (quando o usuário clica no ponto de interrogação no prompt de permissão) [6]. (Ver em tamanho maior)

Applicativo PriVs <a href="#section8">[8]</a>.

Da esquerda para a direita: (a) os usuários recebem resultados estatísticos, que podem servir como referência para suas preferências de privacidade; (b) o PriVs pode receber e implementar as recomendações geradas pelo algoritmo; (c) quando um aplicativo solicita várias permissões, o PriVs exibirá uma interface para coletar feedback do usuário sobre essas permissões; (d) Uma caixa de diálogo aparece para lembrar os usuários quando eles escolhem aprovar a recomendação temporariamente [8]. (Ver em tamanho maior)

Casos de uso
  • Fornecer ferramentas e frameworks que alavancam crowdsourcing, aprendizado de máquina e processamento de linguagem natural para melhorar a privacidade e proteção de dados do usuário dinamicamente.
  • Ajudar usuários a tomarem decisões informadas sobre permissões de aplicativos por meio de recomendações autônomas, sensíveis ao contexto e orientadas por especialistas.
Vantagens

  • As soluções reduzem violações de privacidade e se alinham estreitamente com as preferências do usuário, alcançando alta precisão de recomendação (até 96,8%). Elas usam informações contextuais e filtragem colaborativa para fornecer decisões automáticas de permissões, oferecendo compartilhamento parcial de dados e gerenciamento de privacidade personalizado. Esses sistemas também fornecem explicações para recomendações, melhorando a compreensão e aceitação do usuário, com estudos mostrando taxas de aceitação do usuário de até 78,7% [1][3][4][5][6][7][8].
  • Usa um algoritmo de classificação de experiência para recomendações de alta qualidade e refina continuamente as recomendações com base no feedback do usuário [2].

Desvantagens

  • A qualidade e a confiabilidade das recomendações dependem fortemente da precisão e do volume de dados de crowdsourcing. Essa dependência introduz riscos potenciais, como respostas falsas destinadas a enganar o sistema de recomendações, necessitando de medidas para mitigar essas ameaças e garantir a eficácia do sistema [2][8].
  • Os estudos enfrentaram algumas limitações, incluindo o foco em aplicativos populares, o que pode ter introduzido viés [6], a exigência de acesso root para manipular configurações de permissão, limitando o conjunto de participantes [4], e a falta de consequências no mundo real por negar permissões, o que pode não refletir com precisão o comportamento do usuário em cenários típicos de uso de aplicativos [7].
  • A integração de dados contextuais e modelos de aprendizado de máquina pode introduzir sobrecarga computacional e latência na tomada de decisões de permissão, o que pode afetar o desempenho do dispositivo móvel [1].

Escolhas de Privacidade

As escolhas de privacidade dão às pessoas controle sobre certos aspectos do tratamento de dados. Considerando o espaço de design para escolhas de privacidade [10], esta diretriz pode ser aplicada nas seguintes dimensões:

  • Contextualizadas
    A diretriz é particularmente relevante neste caso, pois aproveita sinais contextuais para fornecer recomendações, ajudando os usuários a tomar decisões de privacidade com base no contexto específico (por exemplo, hora, local, propósito).
  • Escolhas binárias
    A diretriz pode melhorar as escolhas binárias ao fornecer aos usuários recomendações personalizadas e com base no contexto para tomar decisões mais informadas.

  • Personalizado
    Promove o momento personalizado das escolhas de privacidade, apresentando recomendações nos momentos mais apropriados com base nas preferências individuais do usuário.
  • No momento oportuno
    Oferece suporte a escolhas de privacidade em momento oportuno, fornecendo recomendações baseadas no contexto quando a prática de dados específica está prestes a acontecer.
  • Sensível ao contexto
    A diretriz é relevante para fornecer recomendações adaptadas ao contexto atual do usuário.

  • Legível por máquina
    Ele pode ser aplicado em um formato legível por máquina para dar suporte a sistemas automatizados e agentes de privacidade que negociam escolhas de privacidade em nome do usuário.
  • Visual
    A diretriz oferece suporte a modalidades visuais ao apresentar recomendações na forma de texto, imagens ou ícones que são fáceis de entender para os usuários.

  • Apresentação
    As escolhas de privacidade sempre têm uma apresentação que envolve um sistema que fornece informações claras e facilmente compreensíveis aos usuários sobre possíveis práticas de tratamento de dados, opções disponíveis e como comunicar decisões de privacidade, muitas vezes incorporando vários componentes e integrando-se com avisos de privacidade relacionados, exigindo consideração cuidadosa de dimensões de design, como tempo, canal e modalidade [10].
  • Feedback
    A diretriz inclui fornecer aos usuários feedback sobre o status de suas escolhas de privacidade e garantir que eles estejam cientes das ações tomadas com base em suas decisões, incluindo decisões recomendadas e automatizadas.

  • Primário
    A diretriz pode ser aplicada por meio de canais primários, como dentro do aplicativo ou sistema, onde o usuário interage diretamente com as opções de privacidade.
  • Secundário
    Também pode ser estendido para canais secundários, como outros aplicativos móveis ou sites, fornecendo recomendações por meio dessas plataformas quando os canais primários são limitados.

Controle

Todas as soluções discutidas abordam o atributo de controle [11], uma vez que focam em fornecer mecanismos que permitem aos usuários tomarem decisões informadas, personalizar suas configurações de privacidade e gerenciar permissões dinamicamente com base no contexto e nas preferências. Outros atributos de privacidade relacionados:

A segurança envolve medidas técnicas tomadas para proteger os dados de acesso não autorizado ou malicioso. Embora não seja o foco principal, as propostas de soluções discutidas abordam implicitamente a segurança, garantindo que as decisões de permissão minimizem a exposição desnecessária de dados, reduzindo assim os riscos potenciais de segurança.

Transparência envolve tornar os usuários cientes de como seus dados pessoais são manipulados, fornecer acesso a políticas de privacidade e distribuir informações proativamente. Muitas das propostas de solução apresentadas enfatizam informar os usuários sobre decisões de permissão e fornecer explicações para recomendações, aumentando assim a transparência.


Referências

[1] Primal Wijesekera, Joel Reardon, Irwin Reyes, Lynn Tsai, Jung-Wei Chen, Nathan Good, David Wagner, Konstantin Beznosov, and Serge Egelman (2018). Contextualizing Privacy Decisions for Better Prediction (and Protection). In Proceedings of the 2018 CHI Conference on Human Factors in Computing Systems (CHI '18). Association for Computing Machinery, New York, NY, USA, Paper 268, 1–13. https://doi.org/10.1145/3173574.3173842

[2] Bahman Rashidi, Carol Fung, Anh Nguyen, Tam Vu and Elisa Bertino (2018). Android User Privacy Preserving Through Crowdsourcing. In IEEE Transactions on Information Forensics and Security, vol. 13, no. 3, pp. 773-787, March 2018. https://doi.org/10.1109/TIFS.2017.2767019

[3] Hongcan Gao, Chenkai Guo, Dengrong Huang, Xiaolei Hou, Yanfeng Wu, Jing Xu, Zhen He, and Guangdong Bai (2020). Autonomous Permission Recommendation. In IEEE Access, vol. 8, pp. 76580-76594, 2020. https://doi.org/10.1109/ACCESS.2020.2967139

[4] Bin Liu, Mads Schaarup Andersen, Florian Schaub, Hazim Almuhimedi, Shikun Zhang, Norman Sadeh, Alessandro Acquisti. and Yuvraj Agarwal (2016). Follow my recommendations: A personalized privacy assistant for mobile app permissions. In Twelfth symposium on usable privacy and security (SOUPS 2016) (pp. 27-41). https://www.usenix.org/conference/soups2016/technical-sessions/presentation/liu

[5] Seung-Hyun Kim, In-Young Ko, Soo-Hyung Kim (2017). Quality of Private Information (QoPI) model for effective representation and prediction of privacy controls in mobile computing. Computers & Security, 66, pp.1-19. https://doi.org/10.1016/j.cose.2017.01.002

[6] Katarzyna Olejnik, Italo Dacosta, Joana Soares Machado, Kévin Huguenin, Mohammad Emtiyaz Khan, and Jean-Pierre Hubaux (2017). SmarPer: Context-Aware and Automatic Runtime-Permissions for Mobile Devices. In 2017 IEEE Symposium on Security and Privacy (SP), San Jose, CA, USA, 2017, pp. 1058-1076. https://doi.org/10.1109/SP.2017.25

[7] Primal Wijesekera, Arjun Baokar, Lynn Tsai, Joel Reardon, Serge Egelman, David Wagner, and Konstantin Beznosov (2017). The Feasibility of Dynamically Granted Permissions: Aligning Mobile Privacy with User Preferences. In 2017 IEEE Symposium on Security and Privacy (SP), San Jose, CA, USA, 2017, pp. 1077-1093. https://doi.org/10.1109/SP.2017.51

[8] Rui Liu, Jiannong Cao, Kehuan Zhang, Wenyu Gao, Junbin Liang and Lei Yang (2018). When Privacy Meets Usability: Unobtrusive Privacy Permission Recommendation System for Mobile Apps Based on Crowdsourcing. In IEEE Transactions on Services Computing, vol. 11, no. 5, pp. 864-878, 1 Sept.-Oct. 2018. https://doi.org/10.1109/TSC.2016.2605089

[9] Harkeerat Kaur, Isao Echizen and Rohit Kumar (2020). Smart Data Agent for Preserving Location Privacy. In 2020 IEEE Symposium Series on Computational Intelligence (SSCI), Canberra, ACT, Australia, 2020, pp. 2567-2575. https://doi.org/10.1109/SSCI47803.2020.9308396

[10] Yuanyuan Feng, Yaxing Yao, and Norman Sadeh (2021). A Design Space for Privacy Choices: Towards Meaningful Privacy Control in the Internet of Things. In CHI Conference on Human Factors in Computing Systems (CHI ’21), May 8–13, 2021, Yokohama, Japan. ACM, New York, NY, USA, 16 pages. https://doi.org/10.1145/3411764.3445148

[11] Susanne Barth, Dan Ionita, and Pieter Hartel (2022). Understanding Online Privacy — A Systematic Review of Privacy Visualizations and Privacy by Design Guidelines. ACM Comput. Surv. 55, 3, Article 63 (February 2022), 37 pages. https://doi.org/10.1145/3502288