Promova a conscientização do usuário e a tomada de decisão sobre solicitações de permissão/autorização

Resumo do Problema

Os usuários normalmente não tem conhecimento sobre a divulgação de suas informações pessoais em contextos relacionados a solicitações de permissão ou autorização devido a vários problemas, como ignorar longas listas de permissão, desconhecer o acesso potencial de terceiros a seus dados, a sensibilidade dos dados compartilhados e a falta de uma avaliação clara do risco de aceitação dos pedidos de permissão ou autorização.

Racional

Fornecer aos usuários uma visão abrangente das ameaças à sua privacidade decorrentes de pedidos de permissão para divulgar os seus dados aumentaria a sensibilização deles para os riscos à sua privacidade, guiando-os na tomada de decisões informadas.

Solução

Uma interface de notificação de privacidade aprimorada que integra um resumo amigável de privacidade, usando ícones ou um medidor de privacidade. O objetivo aqui é apresentar aos usuários uma interface de resumo de privacidade que comunique visualmente os riscos de privacidade em contextos onde eles precisam analisar os impactos da concessão de permissão aos seus dados pessoais. Qual interface de resumo comunicaria melhor depende do contexto. A unidade central de análise é a permissão, mas a sua agregação depende da abordagem adotada pelos pesquisadores.

Kang et al. [1] apresentou o cálculo de risco de privacidade contando o número de permissões sensíveis à privacidade na solicitação do aplicativo, dividindo essa contagem pelo número máximo de permissões perigosas e usando essa proporção como a pontuação de risco de privacidade. Os resultados são comunicados aos usuários por meio de um medidor de privacidade, aproveitando a familiaridade dos usuários com medidores semelhantes, como aqueles usados para avisos de força de senha. Também usando a aparência popular de medidores de força de senha para comunicar riscos de privacidade aos usuários, Tucker, Tucker and Zheng [6] avaliaram permissões de aplicativos quanto a possíveis usos indevidos e vantagens para determinar riscos de privacidade.

Bal, Rannenberg e Hong [2] introduziram um sistema de comunicação de risco de privacidade para Android que fornece aos usuários informações de risco de privacidade com base na perspectiva de risco de privacidade de segunda ordem (ameaças à privacidade provenientes de perfilamento de usuários e capacidades de mineração de dados baseadas no comportamento de acesso a dados de longo prazo dos aplicativos).

Em Liccardi et al. [3], uma pontuação de sensibilidade é calculada com base na presença de permissões confidenciais na lista de permissões de um aplicativo, desde que a permissão de rede (acesso total à Internet) também esteja presente. Os resultados são comunicados aos usuários por meio de ícones que informam a pontuação de sensibilidade.

Paturi, Kelley, e Mazumdar [4] empregaram vários métodos para estabelecer categorias de privacidade, às quais se referiram como 'grânulos de privacidade' (privacy granules). Esses métodos incluíam a análise de requisitos de permissão e recursos do aplicativo, além da realização de análises estáticas e dinâmicas de código, incluindo o exame de bibliotecas de terceiros. Os resultados desta análise são comunicados aos usuários considerando duas categorias, nomeadamente fornecedores de aplicações e bibliotecas de terceiros. Dentro de cada categoria, os riscos de privacidade são apresentados de acordo com a localização, identidade e grânulos de privacidade da consulta. Os ícones que representam esses grânulos de privacidade foram validados pelos usuários.

Lin et al. [5] explorou a ideia de privacidade com base nas expectativas do usuário sobre o que um aplicativo deveria ou não fazer. Os resultados são apresentados aos usuários como uma porcentagem, ilustrando até que ponto essas expectativas foram violadas. Para medir esta violação de expectativas, os autores analisaram as permissões de privacidade de um grupo de aplicações e realizaram uma pesquisa para confirmar casos em que as aplicações divergiram das expectativas dos utilizadores. Usando os resultados da pesquisa, eles criaram um protótipo de resumo de privacidade, que indica como outros usuários se sentem em relação ao aplicativo solicitar determinada permissão.

Kelly, Cranor e Sadeh [7] apresentaram uma exibição curta chamada "Fatos sobre privacidade". Um protótipo dessa apresentação foi implementado como uma modificação na interface do Android Marketplace. Essa exibição simplificada, que cabe na tela principal do aplicativo, apresenta uma lista de verificação de práticas de dados, incluindo tipos de informações coletadas (por exemplo, pessoais, localização, etc.) e uso (por exemplo, publicidade, análise), e pode ajudar os usuários a selecionar aplicativos que solicitem um número menor de permissões.

Plataformas: computadores pessoais, dispositivos móveis

Diretrizes relacionadas: Aumente a conscientização sobre privacidade comunicando riscos de privacidade, Incentive os usuários a considerarem as implicações para a privacidade antes do compartilhamento online, Comunique o risco para a privacidade com indicadores de privacidade codificados por cores

Exemplo

Capturas de tela da versão de prova de conceito do Styx <a href="#section2">[2]</a>.

Capturas de tela da versão de prova de conceito do Styx [2]. (Ver em tamanho maior)

Grânulos de privacidade <a href="#section4">[4]</a> e pontuação de sensibilidade <a href="#section3">[3]</a>

Da esquerda para à direita interfaces de resumo para grânulos de privacidade [4] e para pontuação de sensibilidade na lista de permissões [3]. (Ver em tamanho maior)

Interfaces resumidas de privacidade <a href="#section5">[5]</a> <a href="#section6">[6]</a> <a href="#section1">[1]</a>.

Da esquerda para a parte inferior direita, interfaces de resumo para expectativas do usuário [5], privacy pal [6] e medidor de privacidade [1]. (Ver em tamanho maior)

Exibição de Fatos de Privacidade <a href="#section7">[7]</a>.

Exibição de Fatos de Privacidade [7]. (Ver em tamanho maior)

Casos de uso
  • Inspeção de dados de aplicativos instalados.
  • Implementação em lojas de aplicativos para uso durante descoberta ou atualização de aplicativos.
  • Implementação de interfaces de solicitação de permissões ou autorização.
Vantagens

  • Ajuda os usuários a compararem diferentes aplicativos ou aplicações com relação às suas propriedades de privacidade [2].
  • Os usuários preferiram em grande parte a interface de privacidade baseada em ícones, tornando a identificação de ameaças e consultas mais fácil do que as listas de permissão tradicionais. Estudos de usuários destacaram que ícones, com designs simples e representações precisas de ameaças, capturaram a atenção dos usuários de forma mais eficaz do que descrições com muito texto [4].
  • Os usuários exibiram maior precisão na especificação dos recursos utilizados pelos aplicativos de destino. Além disso, o estudo destacou que os usuários se sentem mais à vontade quando informados sobre a necessidade de seus recursos sensíveis [5].
  • Mover informações de privacidade/permissões para a tela principal de forma clara e simples pode influenciar a decisão do usuário de escolher aplicativos que solicitam menos permissões, principalmente quando os aplicativos são semelhantes [7].

Desvantagens

  • O desenvolvimento de um sistema escalável de avaliação de privacidade envolve a fusão da análise automatizada de aplicativos com técnicas de crowdsourcing. É vital realizar testes de eficácia, especialmente quando os usuários visualizam brevemente a interface (por exemplo, por 5 a 10 segundos). Persistem desafios na determinação da necessidade de acesso a recursos confidenciais e na compreensão do seu impacto na percepção da privacidade do usuário [5].
  • Necessita experimentação sobre os efeitos a longo prazo nas percepções e no comportamento dos usuários [2][4].

Avisos de Privacidade

Considerando o espaço de design para avisos de privacidade [8], esta recomendação pode ser aplicada às seguintes dimensões:

  • Na configuração
    A diretriz proposta pode ser usada para apresentar um aviso de privacidade aos usuários quando eles usarem o sistema pela primeira vez. Os avisos de privacidade na configuração devem ser concisos e focar em práticas de dados relevantes [8].
  • No momento oportuno
    De acordo com [8], avisos no momento oportuno (just-in-time) precedem a coleta de dados, geralmente perto de campos de entrada ou com diálogos de resumo, reduzindo interrupções do usuário. Outra situação é quando os aplicativos estão solicitando acesso a informações confidenciais, que devem ser acompanhadas por um aviso de privacidade no momento oportuno [8].
  • Sob demanda
    A recomendação proposta pode ser usada para apresentar um aviso aos usuários quando eles procuram ativamente informações de privacidade, por exemplo, em painéis ou interfaces de configurações de privacidade.

  • Não-bloqueante
    Esta recomendação pode ser utilizada com controles sem bloqueio (opções de privacidade), fornecendo opções de controle sem forçar a interação do usuário.
  • Desacoplado
    Esta recomendação pode ser aplicada a avisos de privacidade desacoplados de escolhas de privacidade.
  • Bloqueante
    Esta diretriz pode ser combinada com controles (opções de privacidade) bloqueantes, exigindo que os usuários tomem decisões ou deem consentimento com base nas informações do aviso.

  • Visual
    Esta recomendação é para um aviso visual, utilizando recursos visuais como cores, texto e ícones.

  • Primário
    Esta recomendação pode ser aplicada à mesma plataforma ou dispositivo com o qual o usuário está interagindo.
  • Secundário
    Esta recomendação pode ser aplicada a canais secundários se o canal primário não tiver interface ou tiver uma interface limitada.

Transparência

A transparência [9] é o principal atributo de privacidade, uma vez que este mecanismo envolve a distribuição proativa de informações aos usuários (transparência ex-ante), promovendo a comunicação visualmente acessível das informações de privacidade.
Os estudos discutidos destacam colectivamente a importância de tornar as informações de privacidade disponíveis e compreensíveis para aumentar a sensibilização dos usuários e a tomada de decisões informadas. Outros atributos de privacidade relacionados:

Fornecer aos usuários insights abrangentes sobre ameaças à privacidade decorrentes de solicitações de permissão ou autorização potencializa o controle, permitindo que os usuários tomem decisões autodeterminadas sobre o compartilhamento de seus dados pessoais.


Referências

[1] Jina Kang, Hyoungshick Kim, Yun Gyung Cheong, and Jun Ho Huh. Visualizing Privacy Risks of Mobile Applications through a Privacy Meter. In: Lopez, J., Wu, Y. (eds) Information Security Practice and Experience. ISPEC 2015. Lecture Notes in Computer Science(), vol 9065. Springer, Cham. https://doi.org/10.1007/978-3-319-17533-1_37

[2] Gökhan Bal, Kai Rannenberg, and Jason I. Hong (2015). Styx: Privacy risk communication for the Android smartphone platform based on apps' data-access behavior patterns. Computers & Security, vol. 53, pages 187-202, 2015. https://doi.org/10.1016/j.cose.2015.04.004

[3] Ilaria Liccardi, Joseph Pato, Daniel J. Weitzner, Hal Abelson, and David De Roure. 2014. No technical understanding required: helping users make informed choices about access to their personal data. In Proceedings of the 11th International Conference on Mobile and Ubiquitous Systems: Computing, Networking and Services (MOBIQUITOUS '14). ICST (Institute for Computer Sciences, Social-Informatics and Telecommunications Engineering), Brussels, BEL, 140–150. https://doi.org/10.4108/icst.mobiquitous.2014.258066

[4] Anand Paturi, Patrick Gage Kelley, and Subhasish Mazumdar. Introducing privacy threats from ad libraries to android users through privacy granules. Proceedings of NDSS Workshop on Usable Security (USEC’15). Internet Society. Vol. 1. No. 2. 2015. http://dx.doi.org/10.14722/usec.2015.23008

[5] Jialiu Lin, Shahriyar Amini, Jason I. Hong, Norman Sadeh, Janne Lindqvist, and Joy Zhang (2012). Expectation and purpose: understanding users' mental models of mobile app privacy through crowdsourcing. In Proceedings of the 2012 ACM Conference on Ubiquitous Computing (UbiComp '12). Association for Computing Machinery, New York, NY, USA, 501–510. https://doi.org/10.1145/2370216.2370290

[6] Rachel Tucker, Carl Tucker and Jun Zheng. Privacy Pal: Improving Permission Safety Awareness of Third Party Applications in Online Social Networks. In: IEEE. 2015 IEEE 17th International Conference on High Performance Computing and Communications, 2015 IEEE 7th International Symposium on Cyberspace Safety and Security, and 2015 IEEE 12th International Conference on Embedded Software and Systems. [S.l.], 2015. p. 1268–1273. https://doi.org/10.1109/HPCC-CSS-ICESS.2015.83

[7] Patrick Gage Kelley, Lorrie Faith Cranor, and Norman Sadeh (2013). Privacy as part of the app decision-making process. In Proceedings of the SIGCHI Conference on Human Factors in Computing Systems (CHI '13). Association for Computing Machinery, New York, NY, USA, 2013, 3393–3402. https://doi.org/10.1145/2470654.2466466

[8] Florian Schaub, Rebecca Balebako, Adam L Durity, and Lorrie Faith Cranor (2015). A Design Space for Effective Privacy Notices. In: Symposium on Usable Privacy and Security (SOUPS 2015). [S.l.: s.n.], p. 1–17. https://www.usenix.org/system/files/conference/soups2015/soups15-paper-schaub.pdf

[9] Susanne Barth, Dan Ionita, and Pieter Hartel (2022). Understanding Online Privacy — A Systematic Review of Privacy Visualizations and Privacy by Design Guidelines. ACM Comput. Surv. 55, 3, Article 63 (February 2022), 37 pages. https://doi.org/10.1145/3502288