GD6 - Melhore os controles de privacidade do usuário em aplicativos móveis

Resumo do Problema

Garantir a privacidade do usuário e a proteção de dados em aplicativos móveis é complexo. Os desafios decorrem de vários fatores, incluindo controle e visibilidade inadequados para os usuários sobre como aplicativos e serviços acessam seus dados. Essa complexidade surge de várias questões que não são totalmente abordadas, como gerenciamento de acesso por bibliotecas de terceiros, controle detalhado de concessão de permissões e oferta de opções de consentimento parcial.

Racional

Os aplicativos móveis enfrentam lacunas significativas no controle de privacidade, incluindo visibilidade limitada sobre o acesso a dados pessoais por bibliotecas de terceiros, opções de consentimento binárias e falta de controles detalhados para o usuário. Esses desafios exigem o desenvolvimento de mecanismos mais sofisticados e centrados no usuário para gerenciar a privacidade. Ao integrar controles de privacidade contextuais, princípios de privacidade desde a concepção e interfaces amigáveis, é possível capacitar os usuários a ajustarem suas permissões dinamicamente, tomando decisões informadas e protegendo melhor seus dados pessoais.

Solução

Desenvolver mecanismos centrados no usuário para gerenciar a privacidade em aplicativos móveis. Esses mecanismos fornecem controle granular sobre permissões de aplicativos e compartilhamento de dados, oferecem opções de consentimento parcial e usam interfaces intuitivas, baseadas em privacidade por design. Juntos, eles aumentam a autonomia e a visibilidade dos usuários sobre como os dados pessoais são acessados e usados por aplicativos e bibliotecas de terceiros, abordando preocupações de privacidade de maneira dinâmica e eficaz.

Chitkara et al. [1] introduziram o ProtectMyPrivacy (PmP) para Android, focando em distinguir entre acessos de dados nativos do aplicativo e os de bibliotecas de terceiros. Como principal característica, o PmP oferece controle contextual sobre o compartilhamento de dados para minimizar as decisões necessárias, reduzindo assim a fadiga de decisão do usuário. O PmP utiliza o sistema de permissões do Android e o framework Xposed para monitoramento e controle em tempo real, permitindo ações como permitir, negar ou simular o acesso a dados. O backend do PmP coleta decisões do usuário e comportamentos de aplicativos, aprimorando a gestão de privacidade através da compreensão contextual. O aplicativo minimiza a fadiga de decisão do usuário ao gerenciar acessos de bibliotecas comuns de terceiros, reduzindo a exposição desnecessária de dados.

Bock, Chowdhury e Momen [2] introduziram um aplicativo móvel que incorpora um botão "Talvez", oferecendo aos usuários um novo recurso de consentimento parcial para permissões de acesso a dados. Essa abordagem permite que os usuários concedam acesso temporário aos seus dados, aprimorando os controles de privacidade ao permitir que os usuários reavaliem as permissões ao longo do tempo. Implementada no Android, essa solução explora a aceitação do usuário e a praticidade do acesso condicional, visando equilibrar funcionalidade e privacidade. Ao permitir que os usuários naveguem na escolha muitas vezes binária de consentimento, o aplicativo oferece uma opção diferenciada para gerenciar preferências de privacidade dinamicamente, refletindo uma abordagem mais realista para a gestão e controle de dados pessoais.

Ataei, Degbelo e Kray [3] introduziram uma interface de usuário projetada para gerenciar configurações de privacidade de localização. Esta interface é baseada em teoria de privacidade, princípios de privacidade desde a concepção e princípios gerais de design de interfaces de usuário. Ela permite que os usuários controlem quando, com quem e onde suas informações de localização são compartilhadas através de controles visuais intuitivos e ícones. A interface enfatiza a gestão de privacidade detalhada, permitindo que os usuários definam controles de privacidade baseados em tempo, distância e relacionamentos. Integrando esses controles diretamente em um aplicativo de serviço baseado em localização (LBS), visa aumentar a autonomia e a privacidade do usuário, tornando mais simples para os usuários gerenciarem suas preferências de privacidade de localização diretamente de seus dispositivos móveis.

Aydin et al. [4] apresentaram uma estrutura de aprimoramento de privacidade para aplicativos Android chamada VisiDroid, focando no controle do usuário sobre dados pessoais compartilhados com bibliotecas de publicidade e análise. Ela opera em três fases: análise offline para rastrear fluxos de dados e contextos de interface de usuário, configuração visual permitindo que os usuários definam preferências de privacidade por widget, e instrumentação de código para aplicar essas preferências anonimizando dados antes de serem enviados. Este último passo garante que as preferências de privacidade do usuário sejam aplicadas substituindo dados reais por valores anonimizados antes de serem enviados em solicitações de anúncios ou análise. A abordagem visa minimizar os possíveis efeitos colaterais na funcionalidade do aplicativo que podem surgir da modificação dos dados usados por essas solicitações.

Quay-de la Vallee, Selby e Krishnamurthi [5] propuseram um assistente de gerenciamento de permissões que ajuda a gerenciar permissões após a instalação. Para economizar tempo e atenção dos usuários, o assistente PerMission classifica os aplicativos instalados por suas permissões, listando primeiro as com pior classificação. Ele guia os usuários a gerenciarem as permissões dos aplicativos através das configurações do dispositivo, já que o assistente não pode ajustar diretamente as configurações de outros aplicativos por motivos de segurança do sistema operacional.

Fawaz e Shin [6] propuseram uma solução para melhorar a privacidade de localização em smartphones Android. Os autores introduzem um sistema que utiliza técnicas de ocultação e ofuscação para proteger os dados de localização dos usuários contra rastreamento não autorizado, perfilamento e identificação. Este sistema permite que os usuários mantenham a funcionalidade dos serviços baseados em localização, enquanto reduzem significativamente o risco de violações de privacidade. A solução proposta opera em tempo real, ajustando dinamicamente o nível de privacidade de localização com base no contexto e nas preferências do usuário. Ele decide inteligentemente quando e como ocultar ou ofuscar os dados de localização, garantindo mínima interrupção na funcionalidade do aplicativo. O sistema é projetado para ser amigável ao usuário, proporcionando uma experiência contínua sem exigir muita intervenção do usuário.

Plataformas: dispositivos móveis

Exemplo

Visão geral do aplicativo PmP <a href="#section1">[1]</a>.

Visão geral do aplicativo PmP [1]. (Ver em tamanho maior)

Interface do aplicativo protótipo usando consentimento parcial <a href="#section2">[2]</a>.

Interface do aplicativo protótipo usando consentimento parcial [2]. (Ver em tamanho maior)

A interface de usuário para gerenciamento de configuração de privacidade da localização <a href="#section3">[3]</a>.

A interface de usuário para gerenciamento de configuração de privacidade da localização, a partir da esquerda: (a) principal interface de usuário; (b) interface de usuário para 'quem compartilhar'; (c) ajuste de restrição de tempo; (d) feedback visualizado sobre uma restrição de tempo ativada [3]. (Ver em tamanho maior)

A interface de configuração do VisiDroid <a href="#section4">[4]</a>.

A interface de configuração do VisiDroid [4]. (Ver em tamanho maior)

Assistente PerMission <a href="#section5">[5]</a>.

Página inicial do assistente PerMission [5]. (Ver em tamanho maior)

Prompt do LP-Guardian <a href="#section6">[6]</a>.

Esquerda: Quando o aplicativo acessa a localização pela primeira vez, o LP-Guardian solicita que o usuário defina a regra de anonimização do aplicativo com duas opções: "Não fazer nada" ou "Ocultar-me". A escolha de "Ocultar-me" ativa o mecanismo de anonimização apropriado. Direita: Quando um aplicativo tenta acessar uma nova localização, o LP-Guardian solicita ao usuário uma decisão [6] (Ver em tamanho maior)

Casos de uso
  • Facilitando o gerenciamento dinâmico e flexível de permissões.
  • Permitir que os usuários controlem e minimizem quais informações são compartilhadas com base em seus níveis de conforto.
  • Empoderar os usuários através da concessão de permissões personalizável.
  • Aprimorar o gerenciamento de privacidade e a proteção de dados em dispositivos móveis.
  • Auxiliar os usuários a controlar melhor a concessão de permissões em aplicativos móveis.
Vantagens

  • Oferece aos usuários insights melhores sobre como seus dados são acessados ​​e usados, aumentando potencialmente a conscientização sobre privacidade. A solução foi implantada e avaliada com usuários reais, demonstrando sua praticidade e eficácia na redução de vazamentos de privacidade para bibliotecas de terceiros. Além disso, ao focar em bibliotecas de terceiros populares comuns em muitos aplicativos, o PmP reduz o número de decisões de privacidade que os usuários precisam tomar, simplificando a experiência do usuário. Ele fornece controle granular sobre dados sensíveis à privacidade, distinguindo entre acessos de aplicativos e bibliotecas [1].
  • O botão "Talvez" introduz uma abordagem diferenciada para concessão de permissão. Ele permite aos usuários mais controle sobre seus dados, fornecendo acesso temporário a aplicativos e aprimorando o gerenciamento de privacidade. Muitos participantes de um estudo com usuários expressaram interesse em usar o botão "Talvez" em seus próprios dispositivos, indicando uma demanda por controles de privacidade mais flexíveis além das opções binárias de permitir/negar. Ele foi usado com mais frequência para permissões como memória e contatos, destacando sua potencial eficácia para gerenciar o acesso a tipos de dados mais sensíveis. Os participantes também valorizaram o controle e a proteção da privacidade em detrimento da facilidade de uso, indicando uma forte preferência por recursos que aprimoram a privacidade, mesmo que possam complicar um pouco a experiência do usuário. O estudo também descobriu que a maioria dos participantes não considerou solicitações recorrentes de consentimento parcial como irritantes, sugerindo que os usuários estão abertos a interações mais frequentes se isso significar melhor controle de privacidade [2].
  • A interface de usuário para controle refinado de configurações de privacidade de localização foi bem recebida em um estudo com usuários, atendendo às expectativas dos mesmos para gerenciar a privacidade de localização. Os usuários expressaram um forte desejo de controlar com quem eles compartilham sua localização, especialmente no caso de empresas desconhecidas [3].

Desvantagens

  • Apesar de suas vantagens, 80,6% dos participantes não usaram o botão "Talvez", indicando desafios na adoção e uma necessidade de mais educação do usuário. A configuração padrão de um dia pode ter influenciado seu uso, indicando que opções de duração personalizáveis ​​poderiam melhorar sua utilidade [2].
  • Soluções como a PmP requerem dispositivos que passaram por um processo de 'rooting' (processo que permite obter permissões de administrador no dispositivo), limitando seu uso a usuários tecnicamente experientes e apresentando riscos de segurança [1]. Outras, como o Assistente de Permissão, não podem editar diretamente as configurações de outros aplicativos devido a restrições de segurança do sistema operacional, exigindo que os usuários ajustem as permissões manualmente nas configurações do dispositivo [5].
  • Restrições de compartilhamento baseadas em tempo e espaço foram usadas com menos frequência do que o esperado, indicando a necessidade de melhorar sua apresentação ou compreensão do usuário. Além disso, o ambiente de laboratório e os cenários hipotéticos podem não refletir totalmente o comportamento do mundo real, limitando a generalização das descobertas [3].

Escolhas de Privacidade
Considerando o espaço de design para opções de controle [7], esta diretriz pode ser aplicada nas seguintes dimensões:

Modalidade
Visual

Esta diretriz apresenta soluções que dependem fortemente de interfaces visuais para comunicar ao usuário opções e controles de privacidade. Isso inclui usar texto para descrever permissões e escolhas de privacidade, ícones para representar diferentes tipos de dados ou permissões e interfaces de usuário gráficas para configurar definições de privacidade.

Combinada

Os usuários podem inicialmente configurar suas configurações de privacidade usando interfaces visuais, mas, subjacentes a essas escolhas, poderiam estar configurações legíveis por máquina que os sistemas usam para configurar automaticamente preferências de privacidade. Além disso, considerando futuras extensões ou integrações, essas soluções poderiam incorporar feedback auditivo ou tátil para alertas ou lembretes relacionados a escolhas de privacidade, aumentando, assim, a conscientização e o controle do usuário.

Momento
Sob demanda

Users can actively seek out and modify privacy settings as needed, supported by solutions that provide comprehensive application privacy management interfaces. This allows users to make informed decisions on their schedule rather than being limited to initial setup or just-in-time notifications.

Na configuração inicial

Embora não seja o foco principal dessas soluções, alguns aspectos do controle de privacidade podem ser ajustados na configuração inicial, como durante a instalação de um aplicativo ou na primeira vez que um recurso é acessado.

No momento oportuno

Muitas soluções propõem oferecer opções de privacidade quando uma prática de dados específica está prestes a ocorrer, como quando um aplicativo está prestes a acessar dados de localização ou outras informações confidenciais. Essa abordagem é particularmente evidente em soluções que oferecem controle granular sobre as permissões de aplicativos ou introduzem mecanismos para informar os usuários sobre as implicações de conceder acesso aos seus dados.

Sensível ao contexto

Algumas soluções oferecem opções de privacidade com reconhecimento do contexto do usuário ou do aplicativo. Por exemplo, as configurações de privacidade podem ser ajustadas com base no tipo de dados acessados ou nas bibliotecas de terceiros utilizadas. Essa abordagem alinha-se à entrega de escolhas de privacidade mais significativas e adaptadas aos riscos específicos de privacidade presentes em um determinado contexto.

Canal
Primário

As soluções envolvem interação direta entre o usuário e o sistema (por exemplo, aplicativos móveis), nas quais as escolhas de privacidade são incorporadas. Por exemplo, as ferramentas de gerenciamento de privacidade integradas em aplicativos ou sistemas operacionais permitem que os usuários controlem permissões e configurações de privacidade diretamente na interface do aplicativo ou do sistema operacional. Essa integração garante que as escolhas de privacidade integrem a interação imediata do usuário com o sistema, aumentando a relevância contextual e a facilidade de uso.

Funcionalidade
Aplicação

Algumas das soluções discutidas também abordam a aplicação das decisões de privacidade dos usuários. No caso do PmP [1] e do VisiDroid [4], os sistemas tomam decisões de privacidade, bloqueando ou modificando os dados acessados por aplicativos e bibliotecas de terceiros com base nas preferências do usuário.

Feedback

As soluções discutidas aplicam a subdimensão Feedback para garantir que os usuários saibam o status de suas escolhas de privacidade. No PmP [1], os usuários recebem feedback imediato sobre suas escolhas de privacidade por meio da interface do aplicativo. Na solução de consentimento parcial [2], os usuários que escolhem a opção "Talvez" para permissões de acesso a dados são informados sobre a natureza temporária de seu consentimento e por quanto tempo ele será válido.

Apresentação

As escolhas de privacidade sempre têm uma apresentação que envolve um sistema que fornece informações claras e facilmente compreensíveis aos usuários sobre possíveis práticas de dados, as escolhas de privacidade disponíveis e como comunicar as decisões sobre essas escolhas, muitas vezes incorporando vários componentes e integrando-se com avisos de privacidade relacionados, exigindo consideração cuidadosa de dimensões de design, como tempo, canal e modalidade [5].

Tipo
Contextualizadas

Particularmente relevante para soluções como as de Ataei, Degbelo e Kray [3], que oferecem controle granular sobre o compartilhamento de dados com base no contexto do aplicativo ou na situação do usuário. Por exemplo, permitir o acesso a dados de localização somente quando o aplicativo estiver em uso, ou fornecer permissões temporárias, se encaixam nessa categoria. Essas soluções adotam o princípio de integridade contextual ao permitir que os usuários tomem decisões de privacidade sensíveis ao contexto, aprimorando sua capacidade de alinhar práticas de compartilhamento de dados às suas expectativas de privacidade.

Escolhas múltiplas

Soluções como PmP [1] e VisiDroid [4] expandem o modelo binário, ao oferecer aos usuários múltiplas opções para gerenciar seus dados. Por exemplo, permitir que os usuários decidam a granularidade dos dados de localização compartilhados com aplicativos, ou gerenciem permissões com base no contexto de uso do aplicativo, introduz uma configuração de privacidade de múltiplas opções que se alinha com esta subdimensão.

Escolhas binárias

Inicialmente, a maioria das permissões de aplicativos móveis segue um modelo de escolha binária, em que os usuários concedem ou negam permissão para acesso a dados (por exemplo, acesso à localização e aos contatos). Algumas soluções visam refinar esse modelo oferecendo controles mais matizados, mas ainda operam dentro de uma estrutura com algum nível de tomada de decisão binária, como optar por entrar ou sair de atividades específicas de processamento de dados.

  • Opt-in/out – Opt-in/out choices don't necessarily affect system access but may impact data control and functionality. The default value is crucial when designing choices. Setting opt-in as the default assumes certain data practices are allowed unless the user specifies otherwise.
Atributo(s) de Privacidade
Controle

Esta diretriz apresenta soluções que abordam principalmente o atributo de privacidade de controle [8]. Todas as soluções discutidas visam aprimorar o controle dos usuários sobre seus dados, permitindo que gerenciem permissões de forma mais granular e tomem decisões informadas sobre o compartilhamento de dados. Outros atributos de privacidade relacionados:

Funcionalidade
As soluções discutidas geralmente abordam o equilíbrio entre a funcionalidade do aplicativo e a privacidade, a fim de garantir que os usuários não comprometam sua privacidade em troca da funcionalidade.

Transparência
Todas as soluções discutidas visam aumentar a transparência sobre como os aplicativos acessam e usam dados pessoais, fornecendo aos usuários mais informações e insights sobre as práticas de processamento de dados.

Pseudonimização
Algumas soluções como VisiDroid [4] e ProtectMyPrivacy (PmP) [1] envolvem mecanismos para pseudonimizar dados do usuário para impedir a identificação direta.

Referências

[1] Saksham Chitkara, Nishad Gothoskar, Suhas Harish, Jason I. Hong, and Yuvraj Agarwal (2017). Does this App Really Need My Location? Context-Aware Privacy Management for Smartphones. Proc. ACM Interact. Mob. Wearable Ubiquitous Technol. 1, 3, Article 42, 2017, 22 pages https://doi.org/10.1145/3132029

[2] Sven Bock, Ashraf Ferdouse Chowdhury, and Nurul Momen (2021). Partial Consent: A Study on User Preference for Informed Consent. In: Stephanidis, C., et al. HCI International 2021 - Late Breaking Papers: Design and User Experience. HCII 2021. Lecture Notes in Computer Science(), 2021, vol 13094. Springer, Cham. https://doi.org/10.1007/978-3-030-90238-4_15

[3] Mehrnaz Ataei, Auriol Degbelo, and Christian Kray (2018). Privacy theory in practice: designing a user interface for managing location privacy on mobile devices, Journal of Location Based Services, 2018, 12:3-4, 141-178. https://doi.org/10.1080/17489725.2018.1511839

[4] Aydin, Abdulbaki, David Piorkowski, Omer Tripp, Pietro Ferrara, and Marco Pistoia (2017). Visual configuration of mobile privacy policies. In Fundamental Approaches to Software Engineering: 20th International Conference, FASE 2017, Held as Part of the European Joint Conferences on Theory and Practice of Software, ETAPS 2017, Uppsala, Sweden, April 22-29, 2017, Proceedings 20, 2017, 338-355.Visual Configuration of Mobile Privacy Policies. In: Huisman, M., Rubin, J. (eds) Fundamental Approaches to Software Engineering. FASE 2017. Lecture Notes in Computer Science(), vol 10202. Springer, Berlin, Heidelberg. https://doi.org/10.1007/978-3-662-54494-5_19

[5] Hannah Quay-de la Vallee, Paige Selby, and Shriram Krishnamurthi (2016). On a (Per)Mission: Building Privacy Into the App Marketplace. In Proceedings of the 6th Workshop on Security and Privacy in Smartphones and Mobile Devices (SPSM '16). Association for Computing Machinery, New York, NY, USA, 63–72. https://doi.org/10.1145/2994459.2994466

[6] Kassem Fawaz and Kang G. Shin (2014). Location Privacy Protection for Smartphone Users. In Proceedings of the 2014 ACM SIGSAC Conference on Computer and Communications Security (CCS '14). Association for Computing Machinery, New York, NY, USA, 239–250. https://doi.org/10.1145/2660267.2660270

[7] Yuanyuan Feng, Yaxing Yao, and Norman Sadeh (2021). A Design Space for Privacy Choices: Towards Meaningful Privacy Control in the Internet of Things. In CHI Conference on Human Factors in Computing Systems (CHI ’21), May 8–13, 2021, Yokohama, Japan. ACM, New York, NY, USA, 16 pages. https://doi.org/10.1145/3411764.3445148

[8] Susanne Barth, Dan Ionita, and Pieter Hartel (2022). Understanding Online Privacy — A Systematic Review of Privacy Visualizations and Privacy by Design Guidelines. ACM Comput. Surv. 55, 3, Article 63 (February 2022), 37 pages. https://doi.org/10.1145/3502288