GD6 - Melhore os controles de privacidade do usuário em aplicativos móveis

Resumo do Problema

Garantir a privacidade do usuário e a proteção de dados em aplicativos móveis é complexo. Os desafios decorrem de vários fatores, incluindo controle e visibilidade inadequados para os usuários sobre como aplicativos e serviços acessam seus dados. Essa complexidade surge de várias questões que não são totalmente abordadas, como gerenciamento de acesso por bibliotecas de terceiros, controle detalhado de concessão de permissões e oferta de opções de consentimento parcial.

Racional

Os aplicativos móveis enfrentam lacunas significativas no controle de privacidade, incluindo visibilidade limitada sobre o acesso a dados pessoais por bibliotecas de terceiros, opções de consentimento binárias e falta de controles detalhados para o usuário. Esses desafios exigem o desenvolvimento de mecanismos mais sofisticados e centrados no usuário para gerenciar a privacidade. Ao integrar controles de privacidade contextuais, princípios de privacidade desde a concepção e interfaces amigáveis, é possível capacitar os usuários a ajustarem suas permissões dinamicamente, tomando decisões informadas e protegendo melhor seus dados pessoais.

Solução

Desenvolver mecanismos centrados no usuário para gerenciar a privacidade em aplicativos móveis. Esses mecanismos fornecem controle granular sobre permissões de aplicativos e compartilhamento de dados, oferecem opções de consentimento parcial e usam interfaces intuitivas, baseadas em privacidade por design. Juntos, eles aumentam a autonomia e a visibilidade dos usuários sobre como os dados pessoais são acessados e usados por aplicativos e bibliotecas de terceiros, abordando preocupações de privacidade de maneira dinâmica e eficaz.

Chitkara et al. [1] introduziram o ProtectMyPrivacy (PmP) para Android, focando em distinguir entre acessos de dados nativos do aplicativo e os de bibliotecas de terceiros. Como principal característica, o PmP oferece controle contextual sobre o compartilhamento de dados para minimizar as decisões necessárias, reduzindo assim a fadiga de decisão do usuário. O PmP utiliza o sistema de permissões do Android e o framework Xposed para monitoramento e controle em tempo real, permitindo ações como permitir, negar ou simular o acesso a dados. O backend do PmP coleta decisões do usuário e comportamentos de aplicativos, aprimorando a gestão de privacidade através da compreensão contextual. O aplicativo minimiza a fadiga de decisão do usuário ao gerenciar acessos de bibliotecas comuns de terceiros, reduzindo a exposição desnecessária de dados.

Bock, Chowdhury e Momen [2] introduziram um aplicativo móvel que incorpora um botão "Talvez", oferecendo aos usuários um novo recurso de consentimento parcial para permissões de acesso a dados. Essa abordagem permite que os usuários concedam acesso temporário aos seus dados, aprimorando os controles de privacidade ao permitir que os usuários reavaliem as permissões ao longo do tempo. Implementada no Android, essa solução explora a aceitação do usuário e a praticidade do acesso condicional, visando equilibrar funcionalidade e privacidade. Ao permitir que os usuários naveguem na escolha muitas vezes binária de consentimento, o aplicativo oferece uma opção diferenciada para gerenciar preferências de privacidade dinamicamente, refletindo uma abordagem mais realista para a gestão e controle de dados pessoais.

Ataei, Degbelo e Kray [3] introduziram uma interface de usuário projetada para gerenciar configurações de privacidade de localização. Esta interface é baseada em teoria de privacidade, princípios de privacidade desde a concepção e princípios gerais de design de interfaces de usuário. Ela permite que os usuários controlem quando, com quem e onde suas informações de localização são compartilhadas através de controles visuais intuitivos e ícones. A interface enfatiza a gestão de privacidade detalhada, permitindo que os usuários definam controles de privacidade baseados em tempo, distância e relacionamentos. Integrando esses controles diretamente em um aplicativo de serviço baseado em localização (LBS), visa aumentar a autonomia e a privacidade do usuário, tornando mais simples para os usuários gerenciarem suas preferências de privacidade de localização diretamente de seus dispositivos móveis.

Aydin et al. [4] apresentaram uma estrutura de aprimoramento de privacidade para aplicativos Android chamada VisiDroid, focando no controle do usuário sobre dados pessoais compartilhados com bibliotecas de publicidade e análise. Ela opera em três fases: análise offline para rastrear fluxos de dados e contextos de interface de usuário, configuração visual permitindo que os usuários definam preferências de privacidade por widget, e instrumentação de código para aplicar essas preferências anonimizando dados antes de serem enviados. Este último passo garante que as preferências de privacidade do usuário sejam aplicadas substituindo dados reais por valores anonimizados antes de serem enviados em solicitações de anúncios ou análise. A abordagem visa minimizar os possíveis efeitos colaterais na funcionalidade do aplicativo que podem surgir da modificação dos dados usados por essas solicitações.

Quay-de la Vallee, Selby e Krishnamurthi [5] propuseram um assistente de gerenciamento de permissões que ajuda a gerenciar permissões após a instalação. Para economizar tempo e atenção dos usuários, o assistente PerMission classifica os aplicativos instalados por suas permissões, listando primeiro as com pior classificação. Ele guia os usuários a gerenciarem as permissões dos aplicativos através das configurações do dispositivo, já que o assistente não pode ajustar diretamente as configurações de outros aplicativos por motivos de segurança do sistema operacional.

Fawaz e Shin [6] propuseram uma solução para melhorar a privacidade de localização em smartphones Android. Os autores introduzem um sistema que utiliza técnicas de ocultação e ofuscação para proteger os dados de localização dos usuários contra rastreamento não autorizado, perfilamento e identificação. Este sistema permite que os usuários mantenham a funcionalidade dos serviços baseados em localização, enquanto reduzem significativamente o risco de violações de privacidade. A solução proposta opera em tempo real, ajustando dinamicamente o nível de privacidade de localização com base no contexto e nas preferências do usuário. Ele decide inteligentemente quando e como ocultar ou ofuscar os dados de localização, garantindo mínima interrupção na funcionalidade do aplicativo. O sistema é projetado para ser amigável ao usuário, proporcionando uma experiência contínua sem exigir muita intervenção do usuário.

Plataformas: dispositivos móveis

Exemplo

Visão geral do aplicativo PmP <a href="#section1">[1]</a>.

Visão geral do aplicativo PmP [1]. (Ver em tamanho maior)

Interface do aplicativo protótipo usando consentimento parcial <a href="#section2">[2]</a>.

Interface do aplicativo protótipo usando consentimento parcial [2]. (Ver em tamanho maior)

A interface de usuário para gerenciamento de configuração de privacidade da localização <a href="#section3">[3]</a>.

A interface de usuário para gerenciamento de configuração de privacidade da localização, a partir da esquerda: (a) principal interface de usuário; (b) interface de usuário para 'quem compartilhar'; (c) ajuste de restrição de tempo; (d) feedback visualizado sobre uma restrição de tempo ativada [3]. (Ver em tamanho maior)

A interface de configuração do VisiDroid <a href="#section4">[4]</a>.

A interface de configuração do VisiDroid [4]. (Ver em tamanho maior)

Assistente PerMission <a href="#section5">[5]</a>.

Página inicial do assistente PerMission [5]. (Ver em tamanho maior)

Prompt do LP-Guardian <a href="#section6">[6]</a>.

Esquerda: Quando o aplicativo acessa a localização pela primeira vez, o LP-Guardian solicita que o usuário defina a regra de anonimização do aplicativo com duas opções: "Não fazer nada" ou "Ocultar-me". A escolha de "Ocultar-me" ativa o mecanismo de anonimização apropriado. Direita: Quando um aplicativo tenta acessar uma nova localização, o LP-Guardian solicita ao usuário uma decisão [6] (Ver em tamanho maior)

Casos de uso
  • Facilitando o gerenciamento dinâmico e flexível de permissões.
  • Permitir que os usuários controlem e minimizem quais informações são compartilhadas com base em seus níveis de conforto.
  • Empoderar os usuários através da concessão de permissões personalizável.
  • Aprimorar o gerenciamento de privacidade e a proteção de dados em dispositivos móveis.
  • Auxiliar os usuários a controlar melhor a concessão de permissões em aplicativos móveis.
Vantagens

  • Oferece aos usuários insights melhores sobre como seus dados são acessados ​​e usados, aumentando potencialmente a conscientização sobre privacidade. A solução foi implantada e avaliada com usuários reais, demonstrando sua praticidade e eficácia na redução de vazamentos de privacidade para bibliotecas de terceiros. Além disso, ao focar em bibliotecas de terceiros populares comuns em muitos aplicativos, o PmP reduz o número de decisões de privacidade que os usuários precisam tomar, simplificando a experiência do usuário. Ele fornece controle granular sobre dados sensíveis à privacidade, distinguindo entre acessos de aplicativos e bibliotecas [1].
  • O botão "Talvez" introduz uma abordagem diferenciada para concessão de permissão. Ele permite aos usuários mais controle sobre seus dados, fornecendo acesso temporário a aplicativos e aprimorando o gerenciamento de privacidade. Muitos participantes de um estudo com usuários expressaram interesse em usar o botão "Talvez" em seus próprios dispositivos, indicando uma demanda por controles de privacidade mais flexíveis além das opções binárias de permitir/negar. Ele foi usado com mais frequência para permissões como memória e contatos, destacando sua potencial eficácia para gerenciar o acesso a tipos de dados mais sensíveis. Os participantes também valorizaram o controle e a proteção da privacidade em detrimento da facilidade de uso, indicando uma forte preferência por recursos que aprimoram a privacidade, mesmo que possam complicar um pouco a experiência do usuário. O estudo também descobriu que a maioria dos participantes não considerou solicitações recorrentes de consentimento parcial como irritantes, sugerindo que os usuários estão abertos a interações mais frequentes se isso significar melhor controle de privacidade [2].
  • A interface de usuário para controle refinado de configurações de privacidade de localização foi bem recebida em um estudo com usuários, atendendo às expectativas dos mesmos para gerenciar a privacidade de localização. Os usuários expressaram um forte desejo de controlar com quem eles compartilham sua localização, especialmente no caso de empresas desconhecidas [3].

Desvantagens

  • Apesar de suas vantagens, 80,6% dos participantes não usaram o botão "Talvez", indicando desafios na adoção e uma necessidade de mais educação do usuário. A configuração padrão de um dia pode ter influenciado seu uso, indicando que opções de duração personalizáveis ​​poderiam melhorar sua utilidade [2].
  • Soluções como a PmP requerem dispositivos que passaram por um processo de 'rooting' (processo que permite obter permissões de administrador no dispositivo), limitando seu uso a usuários tecnicamente experientes e apresentando riscos de segurança [1]. Outras, como o Assistente de Permissão, não podem editar diretamente as configurações de outros aplicativos devido a restrições de segurança do sistema operacional, exigindo que os usuários ajustem as permissões manualmente nas configurações do dispositivo [5].
  • Restrições de compartilhamento baseadas em tempo e espaço foram usadas com menos frequência do que o esperado, indicando a necessidade de melhorar sua apresentação ou compreensão do usuário. Além disso, o ambiente de laboratório e os cenários hipotéticos podem não refletir totalmente o comportamento do mundo real, limitando a generalização das descobertas [3].

Atributo(s) de Privacidade

Esta diretriz apresenta soluções que abordam principalmente o atributo de privacidade de controle [7]. Todas as soluções discutidas visam aprimorar o controle dos usuários sobre seus dados, permitindo que eles gerenciem permissões de forma mais granular e tomem decisões informadas sobre o compartilhamento de dados. Outros atributos de privacidade relacionados:

Funcionalidade
As soluções discutidas geralmente abordam o equilíbrio entre a funcionalidade do aplicativo e a privacidade, a fim de garantir que os usuários não comprometam sua privacidade em troca da funcionalidade.

Transparência
Todas as soluções discutidas visam aumentar a transparência sobre como os aplicativos acessam e usam dados pessoais, fornecendo aos usuários mais informações e insights sobre as práticas de processamento de dados.

Pseudonimização
Algumas soluções como VisiDroid [4] e ProtectMyPrivacy (PmP) [1] envolvem mecanismos para pseudonimizar dados do usuário para impedir a identificação direta.

Referências

[1] Saksham Chitkara, Nishad Gothoskar, Suhas Harish, Jason I. Hong, and Yuvraj Agarwal (2017). Does this App Really Need My Location? Context-Aware Privacy Management for Smartphones. Proc. ACM Interact. Mob. Wearable Ubiquitous Technol. 1, 3, Article 42, 2017, 22 pages https://doi.org/10.1145/3132029

[2] Sven Bock, Ashraf Ferdouse Chowdhury, and Nurul Momen (2021). Partial Consent: A Study on User Preference for Informed Consent. In: Stephanidis, C., et al. HCI International 2021 - Late Breaking Papers: Design and User Experience. HCII 2021. Lecture Notes in Computer Science(), 2021, vol 13094. Springer, Cham. https://doi.org/10.1007/978-3-030-90238-4_15

[3] Mehrnaz Ataei, Auriol Degbelo, and Christian Kray (2018). Privacy theory in practice: designing a user interface for managing location privacy on mobile devices, Journal of Location Based Services, 2018, 12:3-4, 141-178. https://doi.org/10.1080/17489725.2018.1511839

[4] Aydin, Abdulbaki, David Piorkowski, Omer Tripp, Pietro Ferrara, and Marco Pistoia (2017). Visual configuration of mobile privacy policies. In Fundamental Approaches to Software Engineering: 20th International Conference, FASE 2017, Held as Part of the European Joint Conferences on Theory and Practice of Software, ETAPS 2017, Uppsala, Sweden, April 22-29, 2017, Proceedings 20, 2017, 338-355.Visual Configuration of Mobile Privacy Policies. In: Huisman, M., Rubin, J. (eds) Fundamental Approaches to Software Engineering. FASE 2017. Lecture Notes in Computer Science(), vol 10202. Springer, Berlin, Heidelberg. https://doi.org/10.1007/978-3-662-54494-5_19

[5] Hannah Quay-de la Vallee, Paige Selby, and Shriram Krishnamurthi (2016). On a (Per)Mission: Building Privacy Into the App Marketplace. In Proceedings of the 6th Workshop on Security and Privacy in Smartphones and Mobile Devices (SPSM '16). Association for Computing Machinery, New York, NY, USA, 63–72. https://doi.org/10.1145/2994459.2994466

[6] Kassem Fawaz and Kang G. Shin (2014). Location Privacy Protection for Smartphone Users. In Proceedings of the 2014 ACM SIGSAC Conference on Computer and Communications Security (CCS '14). Association for Computing Machinery, New York, NY, USA, 239–250. https://doi.org/10.1145/2660267.2660270

[7] Susanne Barth, Dan Ionita, and Pieter Hartel (2022). Understanding Online Privacy — A Systematic Review of Privacy Visualizations and Privacy by Design Guidelines. ACM Comput. Surv. 55, 3, Article 63 (February 2022), 37 pages. https://doi.org/10.1145/3502288