Resumo do Problema

Os usuários normalmente não tem conhecimento sobre a divulgação de suas informações pessoais em contextos relacionados a solicitações de permissão ou autorização devido a vários problemas, como ignorar longas listas de permissão, desconhecer o acesso potencial de terceiros a seus dados, a sensibilidade dos dados compartilhados e a falta de uma avaliação clara do risco de aceitação dos pedidos de permissão ou autorização.

Racional

Fornecer aos usuários uma visão abrangente das ameaças à sua privacidade decorrentes de pedidos de permissão para divulgar os seus dados aumentaria a sensibilização deles para os riscos à sua privacidade, guiando-os na tomada de decisões informadas.

Solução

Uma interface de notificação de privacidade aprimorada que integra um resumo amigável de privacidade, usando ícones ou um medidor de privacidade. O objetivo aqui é apresentar aos usuários uma interface de resumo de privacidade que comunique visualmente os riscos de privacidade em contextos onde eles precisam analisar os impactos da concessão de permissão aos seus dados pessoais. Qual interface de resumo comunicaria melhor depende do contexto. A unidade central de análise é a permissão, mas a sua agregação depende da abordagem adotada pelos pesquisadores.

Kang et al. [1] apresentou o cálculo de risco de privacidade contando o número de permissões sensíveis à privacidade na solicitação do aplicativo, dividindo essa contagem pelo número máximo de permissões perigosas e usando essa proporção como a pontuação de risco de privacidade. Os resultados são comunicados aos usuários por meio de um medidor de privacidade, aproveitando a familiaridade dos usuários com medidores semelhantes, como aqueles usados para avisos de força de senha. Também usando a aparência popular de medidores de força de senha para comunicar riscos de privacidade aos usuários, Tucker, Tucker and Zheng [6] avaliaram permissões de aplicativos quanto a possíveis usos indevidos e vantagens para determinar riscos de privacidade.

Bal, Rannenberg e Hong [2] introduziram um sistema de comunicação de risco de privacidade para Android que fornece aos usuários informações de risco de privacidade com base na perspectiva de risco de privacidade de segunda ordem (ameaças à privacidade provenientes de perfilamento de usuários e capacidades de mineração de dados baseadas no comportamento de acesso a dados de longo prazo dos aplicativos).

Em Liccardi et al. [3], uma pontuação de sensibilidade é calculada com base na presença de permissões confidenciais na lista de permissões de um aplicativo, desde que a permissão de rede (acesso total à Internet) também esteja presente. Os resultados são comunicados aos usuários por meio de ícones que informam a pontuação de sensibilidade.

Paturi, Kelley, e Mazumdar [4] empregaram vários métodos para estabelecer categorias de privacidade, às quais se referiram como 'grânulos de privacidade' (privacy granules). Esses métodos incluíam a análise de requisitos de permissão e recursos do aplicativo, além da realização de análises estáticas e dinâmicas de código, incluindo o exame de bibliotecas de terceiros. Os resultados desta análise são comunicados aos usuários considerando duas categorias, nomeadamente fornecedores de aplicações e bibliotecas de terceiros. Dentro de cada categoria, os riscos de privacidade são apresentados de acordo com a localização, identidade e grânulos de privacidade da consulta. Os ícones que representam esses grânulos de privacidade foram validados pelos usuários.

Lin et al. [5] explorou a ideia de privacidade com base nas expectativas do usuário sobre o que um aplicativo deveria ou não fazer. Os resultados são apresentados aos usuários como uma porcentagem, ilustrando até que ponto essas expectativas foram violadas. Para medir esta violação de expectativas, os autores analisaram as permissões de privacidade de um grupo de aplicações e realizaram uma pesquisa para confirmar casos em que as aplicações divergiram das expectativas dos utilizadores. Usando os resultados da pesquisa, eles criaram um protótipo de resumo de privacidade, que indica como outros usuários se sentem em relação ao aplicativo solicitar determinada permissão.

Kelly, Cranor e Sadeh [7] apresentaram uma exibição curta chamada "Fatos sobre privacidade". Um protótipo dessa apresentação foi implementado como uma modificação na interface do Android Marketplace. Essa exibição simplificada, que cabe na tela principal do aplicativo, apresenta uma lista de verificação de práticas de dados, incluindo tipos de informações coletadas (por exemplo, pessoais, localização, etc.) e uso (por exemplo, publicidade, análise), e pode ajudar os usuários a selecionar aplicativos que solicitem um número menor de permissões.

Plataformas: computadores pessoais, dispositivos móveis

Diretrizes relacionadas: Aumente a conscientização sobre privacidade comunicando riscos de privacidade, Incentive os usuários a considerarem as implicações para a privacidade antes do compartilhamento online, Comunique o risco para a privacidade com indicadores de privacidade codificados por cores

Exemplo

Capturas de tela da versão de prova de conceito do Styx [2]. (Ver em tamanho maior)

Da esquerda para à direita interfaces de resumo para grânulos de privacidade [4] e para pontuação de sensibilidade na lista de permissões [3]. (Ver em tamanho maior)

Da esquerda para a parte inferior direita, interfaces de resumo para expectativas do usuário [5], privacy pal [6] e medidor de privacidade [1]. (Ver em tamanho maior)

Exibição de Fatos de Privacidade [7]. (Ver em tamanho maior)

• Ajuda os usuários a compararem diferentes aplicativos ou aplicações com relação às suas propriedades de privacidade [2].
• Os usuários preferiram em grande parte a interface de privacidade baseada em ícones, tornando a identificação de ameaças e consultas mais fácil do que as listas de permissão tradicionais. Estudos de usuários destacaram que ícones, com designs simples e representações precisas de ameaças, capturaram a atenção dos usuários de forma mais eficaz do que descrições com muito texto [4].
• Os usuários exibiram maior precisão na especificação dos recursos utilizados pelos aplicativos de destino. Além disso, o estudo destacou que os usuários se sentem mais à vontade quando informados sobre a necessidade de seus recursos sensíveis [5].
• Mover informações de privacidade/permissões para a tela principal de forma clara e simples pode influenciar a decisão do usuário de escolher aplicativos que solicitam menos permissões, principalmente quando os aplicativos são semelhantes [7].

• O desenvolvimento de um sistema escalável de avaliação de privacidade envolve a fusão da análise automatizada de aplicativos com técnicas de crowdsourcing. É vital realizar testes de eficácia, especialmente quando os usuários visualizam brevemente a interface (por exemplo, por 5 a 10 segundos). Persistem desafios na determinação da necessidade de acesso a recursos confidenciais e na compreensão do seu impacto na percepção da privacidade do usuário [5].
• Necessita experimentação sobre os efeitos a longo prazo nas percepções e no comportamento dos usuários [2][4].

Considerando o espaço de design para avisos de privacidade [8], esta recomendação pode ser aplicada às seguintes dimensões:

A transparência [9] é o principal atributo de privacidade, uma vez que este mecanismo envolve a distribuição proativa de informações aos usuários (transparência ex-ante), promovendo a comunicação visualmente acessível das informações de privacidade.
Os estudos discutidos destacam colectivamente a importância de tornar as informações de privacidade disponíveis e compreensíveis para aumentar a sensibilização dos usuários e a tomada de decisões informadas. Outros atributos de privacidade relacionados: