Integre indicadores de privacidade para seleção informada de aplicativos

Resumo do Problema

Os usuários frequentemente carecem de informações claras e oportunas sobre privacidade ao selecionar aplicativos, levando a decisões desinformadas e liberação de permissões excessivas.

Racional

A ideia é que a introdução de indicadores de privacidade de dados capacitará os usuários com insights mais abrangentes sobre os fluxos de dados, a exposição a aplicativos de terceiros e como os dados coletados estão sendo usados por aplicações móveis e/ou em nuvem.

Solução

Melhorar a privacidade do usuário, integrando indicadores de privacidade dinâmicos e orientados por dados em lojas de aplicativos de aplicativos e similares, ajudando os usuários a tomarem decisões informadas sobre a instalação e concessão de permissões a esses aplicativos. Coletivamente, todas as soluções discutidas nos artigos apresentados abaixo abordam o problema de fornecer informações de privacidade claras, de fácil acesso e oportunas aos usuários. As soluções discutem desde insights baseados em dados e indicadores visuais até notificações personalizadas e representações granulares de ameaças, visando garantir que os usuários possam tomar decisões informadas e mais eficazes sobre a instalação de aplicativos.

Harkous, Rahman e Aberer [1] introduziram o conceito de Indicadores de Privacidade Baseados em Dados (Data-Driven Privacy Indicators - DDPIs) buscando preencher a lacuna de privacidade entre as expectativas dos usuários e o acesso real aos dados pessoais por aplicativos de terceiros. Os dados do usuário são analisados por uma entidade confiável, como a plataforma do aplicativo, o resultado dessa análise é integrada na interface do indicador. Essa abordagem inclui vários indicadores de privacidade, um dos quais é o "Insights baseados em histórico". Insights baseados em histórico fornecem aos usuários informações sobre o quão acessível estão seus dados a fornecedores de aplicativos com base em instalações anteriores de aplicativos pelo próprio usuário ou seus colaboradores, ajudando-os a tomarem decisões mais informadas sobre concessão de permissões a aplicativos.

Quay-de la Vallee, Selby e Krishnamurthi [2] propuseram integrar classificações de privacidade nas lojas de aplicativos para ajudar os usuários a tomarem decisões informadas sobre a instalação dos mesmos. Ao fornecer classificações de permissões obtidas por ferramentas automatizadas e revisões humanas, os usuários poderiam avaliar melhor as implicações de privacidade dos aplicativos antes de baixá-los. Kelley, Cranor e Sadeh [3] também investigaram como a informação de privacidade poderia se tornar uma parte central do processo de seleção de aplicativos. Os autores propuseram uma exibição de "Fatos de Privacidade", a qual apresenta informações sobre privacidade e permissões na tela principal do aplicativo.

Bock e Momen [4] apresentaram um processo de implementação e avaliação para um indicador que serve como uma dica de indicador de privacidade ex-ante (antes do evento) para a loja de aplicativos. Um protótipo do indicador de privacidade foi desenvolvido e integrado a uma versão simulada da Google Play Store. Este protótipo foi projetado para exibir os indicadores de privacidade junto com as listagens de aplicativos, tornando as informações de privacidade prontamente acessíveis aos usuários durante o processo de seleção do aplicativo. Bal [5] também apresentou um novo design para indicadores de privacidade em mercados de aplicativos para smartphones para melhorar a compreensão dos usuários sobre os riscos de privacidade e dar suporte à seleção informada de aplicativos. Os indicadores incorporam comportamentos de acesso a dados de longo prazo, contexto, vinculação de propósito e transparência do desenvolvedor. Também avaliam os riscos de privacidade com base na frequência e em quais circunstâncias os dados são acessados, em vez de apenas nas permissões solicitadas. Os avisos de privacidade são integrados durante o estágio de descoberta do aplicativo para influenciar as decisões do usuário antes da instalação, e os indicadores de privacidade são fornecidos em vários níveis de detalhes para atender às diferentes necessidades do usuário. Os indicadores de alto nível são imediatamente visíveis, e informações detalhadas estão disponíveis sob demanda. Os autores desenvolveram um protótipo da Google Play Store com estímulos de aviso de privacidade adicionais, incluindo indicadores visuais (classificações de 5 estrelas e codificação de cores) e telas de informações detalhadas de privacidade.

Paturi, Kelley e Mazumdar [6] apresentam uma nova interface de representação de ameaças à privacidade baseada em ícones, projetada para informar usuários do Android sobre ameaças à privacidade apresentadas por provedores de aplicativos e bibliotecas de anúncios de terceiros. A interface categoriza as ameaças à privacidade em três grânulos: localização (informações sobre a localização geográfica do usuário), identidade (informações que identificam exclusivamente o usuário, como, por exemplo, endereço de e-mail, IMEI do dispositivo) e consulta (informações sobre as consultas de pesquisa do usuário).

Jackson e Wang [7] abordaram o paradoxo da privacidade, no qual as atitudes declaradas pelo usuário em relação à privacidade não correspondem com o seu comportamento real. Os autores propõem uma abordagem de notificação de privacidade personalizada para destacar essa discrepância. A solução inclui uma interface de discrepância de privacidade para aplicativos móveis, justapondo as atitudes gerais dos usuários em relação à privacidade com os riscos de privacidade de permissões específicas de aplicativos. Esta interface incentiva os usuários a tomarem decisões de permissões que estejam alinhadas com suas atitudes de privacidade. A interface de discrepância combina as atitudes dos usuários com o perigo das permissões dos aplicativos, exibida por meio de ícones coloridos (verde, amarelo, vermelho) para sinalizar os níveis de risco. Os usuários podem clicar nos ícones para ver informações detalhadas sobre os riscos de privacidade e ajustar as permissões para modificar dinamicamente o nível de risco.

Tucker, Tucker e Zheng [8] apresentam o Privacy Pal, uma extensão para o navegador Chrome projetada para aumentar a conscientização dos usuários sobre os riscos de privacidade e segurança associados a aplicativos de terceiros no Facebook. O Privacy Pal fornece uma ferramenta de análise e visualização de riscos que classifica as permissões dos aplicativos em categorias como localização, identidade e contatos e avalia ameaças potenciais, como roubo de identidade e rastreamento. A extensão exibe os níveis de risco usando uma interface visual semelhante aos medidores de força de senha, com o objetivo de ajudar os usuários a tomar decisões informadas antes de instalar aplicativos.

Liccardi et al. [9] propõem uma interface aprimorada para a Google Play Store para ajudar os usuários a entenderem melhor as permissões dos aplicativos. A interface introduz uma pontuação de sensibilidade que quantifica os potenciais riscos de privacidade dos aplicativos com base em suas permissões, destacando aqueles que acessam dados pessoais. Essa abordagem visa simplificar o processo de tomada de decisão para os usuários, especialmente aqueles que não têm conhecimento técnico, tornando as implicações de privacidade mais acessíveis e compreensíveis.

Kleek et al. [10] apresentaram uma nova classe de indicadores de privacidade chamados Indicadores do Controlador de Dados (Data Controller Indicators - DCIs). Esses indicadores revelam as atividades de coleta de dados de aplicativos de smartphone ao identificar quais organizações estão coletando dados, quais dados estão sendo coletados e para quais propósitos. Os autores também apresentaram os DCIs Personalizados, os quais contextualizam a coleta de dados em relação a outros aplicativos que o usuário já instalou.

Shen et al. [11] propuseram o BlueSeal, um novo mecanismo de permissão para Android que aprimora o sistema existente ao incorporar fluxos de permissões derivadas de fluxos de dados intra-aplicativo e inter-aplicativos. Ele emprega análise estática usando o framework Soot estendido para analisar o bytecode DEX do Android, e utiliza um mapa de permissões para chamadas de API. O BlueSeal identifica fontes e sumidouros dentro dos aplicativos para rastrear fluxos de dados, permitindo configurações detalhadas de permissões que refletem os padrões reais de uso de dados. Ao estender o instalador de pacotes do Android, o BlueSeal fornece aos usuários visibilidade e controle sobre como os aplicativos interagem entre si e usam permissões, visando melhorar a privacidade e a segurança nos dispositivos Android.

Plataformas: computadores pessoais, dispositivos móveis

Exemplo

Interface <em>Insights</em> baseada em histórico <a href="#section1">[1]</a>.

A interface Insights baseada em histórico destaca a porcentagem de arquivos acessíveis pelo fornecedor [1]. (Ver em tamanho maior)

Exemplo de interface do <em>Immediate Insights</em> <a href="#section1">[1]</a>.

Exemplo de interface do Immediate Insights [1]. (Ver em tamanho maior)

Loja PerMission <a href="#section2">[2]</a>.

Esquerda: página de resultados de pesquisa da Loja PerMission; Direita: exemplo de uma página de aplicativo [2]. (Ver em tamanho maior)

Exibição da lista de verificação de fatos de privacidade <a href="#section3">[3]</a>.

Exibição da lista de verificação de fatos de privacidade [3]. (Ver em tamanho maior)

Réplica da loja de aplicativos do Google com novos indicadores de privacidade <a href="#section5">[5]</a>.

Réplica da loja de aplicativos do Google com novos indicadores de privacidade [5]. (Ver em tamanho maior)

Interface de discrepância de privacidade <a href="#section7">[7]</a>, interface do Privacy Pal<a href="#section8">[8]</a> e interface de Grânulos de Privacidade <a href="#section6">[6]</a>.

A interface de discrepância de privacidade (esquerda) destaca a discrepância entre as preocupações com a privacidade do usuário e o risco da solicitação de permissão de cada aplicativo [7]. A interface do Privacy Pal (canto superior direito) ajuda os usuários a visualizar os riscos de privacidade e segurança associados à concessão de permissões para aplicativos de terceiros [8]. Interfaces de resumo para grânulos de privacidade (canto inferior direito) [6] (Ver em tamanho maior)

Interface aprimorada ao escolher um aplicativo, mostrando a pontuação de sensibilidade <a href="#section9">[9]</a>.

Da esquerda para a direita: (a) quando os usuários pesquisam um aplicativo; (b) dentro da página de cada aplicativo antes da instalação; (c) mostrando o aumento (ou diminuição) no valor da pontuação de sensibilidade ao atualizar um aplicativo; (d) mostrando a pontuação de sensibilidade total dentro da lista de permissões [9]. (Ver em tamanho maior)

Indicador do Controlador de Dados (DCI) e DCI Personalizado (PDCI) <a href="#section10">[10]</a>.

Indicador do Controlador de Dados (DCI) e DCI Personalizado (PDCI), cada um com opções de exibição tabulares (superior) e diagrama Sankey (inferior) [10]. (Ver em tamanho maior)

Exemplo de fluxo de permissões exibidas aos usuários <a href="#section11">[11]</a>.

Exemplo de fluxo de permissões exibidas aos usuários [11]. (Ver em tamanho maior)

Casos de uso
  • Implementação no processo de autorização de aplicativo de nuvem/smartphone.
  • Implementação em mercados de aplicativos durante a descoberta e inspeção de aplicativos.
  • Oferecer percepções sobre a privacidade de novos aplicativos com base no uso anterior de aplicativos e no acesso a dados por terceiros.
Vantagens

  • Percepções baseadas em histórico estimularam escolhas conscientes da privacidade, mostrando o impacto positivo dos DDPIs nas decisões do usuário. O indicador de privacidade baseado no histórico de instalação impulsionou a seleção consciente de aplicativos considerando privacidade em 30% [1].
  • Mover informações de privacidade e permissões para uma exibição proeminente, clara e simples influencia os usuários a escolher aplicativos com menos permissões. As classificações e indicadores de privacidade melhoram a capacidade dos usuários de gerenciar permissões de aplicativos, aumentam a conscientização sobre riscos de privacidade e promovem um comportamento de seleção de aplicativos mais seguro sem esforço adicional ou aumento no tempo de tomada de decisão [2][3][4][5][6][9][10].
  • Um estudo de usuário mostrou que as Permissões de Fluxo impactam significativamente a probabilidade de instalações de aplicativos entre usuários que não têm noções preconcebidas sobre o aplicativo, destacando seu potencial para auxiliar na tomada de decisões em um ambiente do mundo real. Elas também ajudam a diferenciar entre comportamentos normais e maliciosos de aplicativos com base em fluxos de informações, fornecendo insights valiosos sobre aplicativos potencialmente prejudiciais. Além disso, uma análise descobriu que a maioria dos aplicativos contém um número gerenciável de Permissões de Fluxo, tornando prático para os usuários revisar e entender as permissões que um aplicativo solicita [11].
  • Um experimento online demonstrou que a interface de discrepância de privacidade melhorou o alinhamento entre o comportamento e as atitudes de privacidade dos usuários em comparação com outras abordagens de notificação [7].

Desvantagens

  • Os estudos destacam vários desafios na implementação e generalização de indicadores de privacidade e assistentes para seleção e gerenciamento de aplicativos. Isso inclui restrições de segurança que impedem a edição direta das configurações do aplicativo, dependência de plataformas externas para instalações de aplicativos, viés de familiaridade com o aplicativo e a necessidade de explicações detalhadas. Além disso, o ambiente controlado dos estudos e os cenários hipotéticos usados ​​podem não refletir com precisão o comportamento do usuário no mundo real, limitando a generalização dos resultados [2][4][6][7][8].
  • É um desafio priorizar e fornecer mensagens de privacidade concisas, porém personalizadas, aos usuários, sem impactar negativamente a usabilidade da plataforma, evitando a frustração do usuário causada por indicadores de privacidade conflitantes ou esmagadores [1]. No caso de DCI e PDCI [10], os participantes levaram significativamente mais tempo para tomar decisões usando interfaces DCI e PDCI em comparação a outras condições. No entanto, embora isso possa ser visto como uma desvantagem, também reflete a meticulosidade com que as decisões foram tomadas, isto é, com mais confiança na decisão [10].
  • Um estudo com usuários mostrou que os participantes não percebiam as permissões exibidas da mesma forma com que veem as políticas de privacidade, vendo-as apenas como itens que o telefone pode obter, em vez de informações pessoais fornecidas por eles [3]. No caso das Permissões de Fluxo, elas tiveram pouco impacto em usuários com noções preconcebidas sobre um aplicativo, indicando limitações na mudança de percepções de usuários familiarizados [11].

Avisos de Privacidade

Esta recomendação está intimamente relacionada aos avisos de privacidade. Os avisos de privacidade normalmente informam os usuários sobre a coleta, uso e compartilhamento de seus dados pessoais [12]. As ferramentas que permitem aos indivíduos analisarem os dados que já compartilharam, especialmente no contexto de novos compartilhamentos de dados, alinham-se com os princípios de transparência e controle que os avisos de privacidade normalmente pretendem fornecer. Permitir que os usuários examinem e analisem dados pessoais que os prestadores de serviços já conhecem sobre ele, juntamente com os fluxos de dados, ajuda-os a obter informações sobre a exposição da sua privacidade, utilização de dados pessoais e potencial compartilhamento com terceiros.

Se integrada no serviço de tratamento de dados pessoais, tal ferramenta poderá facilitar as escolhas de privacidade, oferecendo controles como a exclusão de dados e a gestão de consentimento.

  • Na configuração
    A recomendação proposta pode ser usada para apresentar um aviso de privacidade aos usuários quando eles estiverem usando o sistema pela primeira vez, para que possam estar cientes do das práticas de tratamento de dados.
  • Sob demanda
    A recomendação proposta pode ser usada para apresentar um aviso de privacidade aos usuários quando eles procuram ativamente informações de privacidade, como por exemplo, em painéis de privacidade ou interfaces de configurações de privacidade.
  • Persistente
    Ao oferecer visibilidade contínua das classificações e indicadores de privacidade, a diretriz pode conscientizar continuamente os usuários sobre as implicações de privacidade, semelhantes aos avisos persistentes.
  • No momento oportuno
    A diretriz sugere a integração de classificações de permissão e indicadores de privacidade quando os usuários tomam decisões de instalação de aplicativos. Esta abordagem enquadra-se bem na abordagem just-in-time, garantindo que os utilizadores recebem informações de privacidade relevantes no contexto, aumentando assim a transparência.

  • Não-bloqueante
    Embora o foco principal seja o fornecimento de informações em vez de controles imediatos, a diretriz se alinha aos controles sem bloqueio, permitindo que os usuários revisem e gerenciem permissões sem interromper suas tarefas principais.
  • Desacoplado
    Esta recomendação pode ser aplicada a avisos de privacidade desacoplados de escolhas de privacidade.

  • Visual
    A utilização de indicadores de privacidade baseados em dados, classificações de permissão e elementos visuais intuitivos (como sistemas codificados por cores) alinham-se com a modalidade visual em avisos de privacidade destinados a comunicar de modo eficaz informações de privacidade complexas.

  • Secundário
    Esta recomendação pode ser aplicada a canais secundários se o canal primário não tiver interface ou tiver uma interface limitada.
  • Primário
    Esta recomendação pode ser aplicada à mesma plataforma ou dispositivo com o qual o usuário está interagindo. Por exemplo, a integração de indicadores de privacidade nas lojas de aplicativos corresponde à utilização de um canal primário, uma vez que os utilizadores interagem com estes indicadores diretamente no ambiente de seleção de aplicações.

Transparência

A transparência [13] é o principal atributo de privacidade, uma vez que este mecanismo envolve a distribuição proativa de informações aos usuários. A diretriz se concentra em fornecer aos usuários informações de privacidade claras, abrangentes e acessíveis sobre aplicativos por meio de indicadores de privacidade baseados em dados. Isto ajuda os utilizadores a compreender como os seus dados pessoais serão tratados, ajudando-os a tomar decisões informadas. Outros atributos de privacidade relacionados:

Fornecer aos usuários insights sobre as práticas de manipulação de dados potencializa o controle, permitindo-lhes tomar decisões autodeterminadas sobre o compartilhamento de seus dados pessoais.

Referências

[1] Hamza Harkous, Rameez Rahman, and Karl Aberer (2016). Data-Driven Privacy Indicators. In: Twelfth Symposium on Usable Privacy and Security (SOUPS 2016). [S.l.: s.n.], 2016 https://www.usenix.org/system/files/conference/soups2016/wpi16_paper-harkous.pdf

[2] Hannah Quay-de la Vallee, Paige Selby, and Shriram Krishnamurthi (2016). On a (Per)Mission: Building Privacy Into the App Marketplace. In Proceedings of the 6th Workshop on Security and Privacy in Smartphones and Mobile Devices (SPSM '16). Association for Computing Machinery, New York, NY, USA, 63–72. https://doi.org/10.1145/2994459.2994466

[3] Patrick Gage Kelley, Lorrie Faith Cranor, and Norman Sadeh (2013). Privacy as part of the app decision-making process. In Proceedings of the SIGCHI Conference on Human Factors in Computing Systems (CHI '13). Association for Computing Machinery, New York, NY, USA, 2013, 3393–3402. https://doi.org/10.1145/2470654.2466466

[4] Sven Bock and Nurul Momen (2020). Nudging the user with privacy indicator: a study on the app selection behavior of the user. In: Proceedings of the 11th Nordic Conference on Human-Computer Interaction: Shaping Experiences, Shaping Society. [S.l.: s.n.], 2020. p. 1–12. https://doi.org/10.1145/3419249.3420111

[5] Gökhan Bal (2014). Designing privacy indicators for smartphone app markets: A new perspective on the nature of privacy risks of apps. In: Proceedings of the 20th Americas Conference on Information Systems, AMCIS 2014. [S.l.: s.n.], 2014. https://aisel.aisnet.org/amcis2014/MobileComputing/GeneralPresentations/6

[6] Anand Paturi, Patrick Gage Kelley, and Subhasish Mazumdar. Introducing privacy threats from ad libraries to android users through privacy granules. Proceedings of NDSS Workshop on Usable Security (USEC’15). Internet Society. Vol. 1. No. 2. 2015. http://dx.doi.org/10.14722/usec.2015.23008

[7] Corey Brian Jackson and Yang Wang. Addressing the privacy paradox through personalized privacy notifications. Proceedings of the ACM on interactive, mobile, wearable and ubiquitous technologies, ACM New York, NY, USA, v. 2, n. 2, p. 1–25, 2018. https://doi.org/10.1145/3214271

[8] Rachel Tucker, Carl Tucker and Jun Zheng. Privacy Pal: Improving Permission Safety Awareness of Third Party Applications in Online Social Networks. In: IEEE. 2015 IEEE 17th International Conference on High Performance Computing and Communications, 2015 IEEE 7th International Symposium on Cyberspace Safety and Security, and 2015 IEEE 12th International Conference on Embedded Software and Systems. [S.l.], 2015. p. 1268–1273. https://doi.org/10.1109/HPCC-CSS-ICESS.2015.83

[9] Ilaria Liccardi, Joseph Pato, Daniel J. Weitzner, Hal Abelson, and David De Roure. 2014. No technical understanding required: helping users make informed choices about access to their personal data. In Proceedings of the 11th International Conference on Mobile and Ubiquitous Systems: Computing, Networking and Services (MOBIQUITOUS '14). ICST (Institute for Computer Sciences, Social-Informatics and Telecommunications Engineering), Brussels, BEL, 140–150. https://doi.org/10.4108/icst.mobiquitous.2014.258066

[10] Max Van Kleek, Ilaria Liccardi, Reuben Binns, Jun Zhao, Daniel J. Weitzner, and Nigel Shadbolt (2017). Better the Devil You Know: Exposing the Data Sharing Practices of Smartphone Apps. In Proceedings of the 2017 CHI Conference on Human Factors in Computing Systems (CHI '17). Association for Computing Machinery, New York, NY, USA, 5208–5220. https://doi.org/10.1145/3025453.3025556

[11] Feng Shen, Namita Vishnubhotla, Chirag Todarka, Mohit Arora, Babu Dhandapani, Eric John Lehner, Steven Y. Ko, and Lukasz Ziarek (2014). Information flows as a permission mechanism. In Proceedings of the 29th ACM/IEEE International Conference on Automated Software Engineering (ASE '14). Association for Computing Machinery, New York, NY, USA, 2014. 515–526. https://doi.org/10.1145/2642937.2643018

[12] Florian Schaub, Rebecca Balebako, Adam L Durity, and Lorrie Faith Cranor (2015). A Design Space for Effective Privacy Notices. In: Symposium on Usable Privacy and Security (SOUPS 2015). [S.l.: s.n.], p. 1–17. https://www.usenix.org/system/files/conference/soups2015/soups15-paper-schaub.pdf

[13] Susanne Barth, Dan Ionita, and Pieter Hartel (2022). Understanding Online Privacy — A Systematic Review of Privacy Visualizations and Privacy by Design Guidelines. ACM Comput. Surv. 55, 3, Article 63 (February 2022), 37 pages. https://doi.org/10.1145/3502288