Simple Science

Ciencia de vanguardia explicada de forma sencilla

# Informática# Criptografía y seguridad

Riesgos de privacidad en las sub-aplicaciones de WeChat

Investigando la sobre-recolección de privacidad en las sub-apps cada vez más populares de WeChat.

― 7 minilectura

Sub-aplicaciones deSub-aplicaciones deWeChat: Preocupaciones deprivacidaden aplicaciones móviles populares.Explorando la sobrecolección de datos
Tabla de contenidos

Las aplicaciones móviles están cada vez más dependientes de un modelo donde una app principal (a menudo llamada super-app) alberga muchas aplicaciones más pequeñas conocidas como sub-apps. WeChat es un ejemplo perfecto de esto, ofreciendo un montón de sub-apps para varios servicios como compras, finanzas y redes sociales. Aunque esta configuración es conveniente para los usuarios, plantea preocupaciones significativas sobre la privacidad respecto a cuánto dato personal están recolectando estas sub-apps.

Este artículo busca investigar el problema de la sobre-recolección de datos de privacidad en las sub-apps de WeChat. La sobre-recolección de privacidad ocurre cuando las sub-apps recopilan más datos personales de los que dicen que recogen en sus Políticas de privacidad. Nuestro objetivo es desglosar este problema, explorar su magnitud, las responsabilidades de las partes involucradas y qué se puede hacer para mejorar la protección de la privacidad.

El Modelo App-en-App

El modelo app-en-app permite a los usuarios acceder a múltiples servicios a través de una sola aplicación. Una super-app sirve como la plataforma principal, ofreciendo una variedad de funcionalidades a través de sub-apps. Esta conveniencia impulsa a muchas empresas, especialmente startups, a desarrollar servicios usando sub-apps, llevando a un aumento en su disponibilidad. De hecho, hay más sub-apps en WeChat que aplicaciones tradicionales disponibles en las tiendas de aplicaciones estándar.

Datos de Privacidad Accedidos por Sub-apps

Las sub-apps pueden acceder a diferentes tipos de datos de privacidad dependiendo de cómo están diseñadas y qué permisos se les otorguen. Las principales categorías incluyen:

  1. Privacidad del Dispositivo: Estos datos provienen del dispositivo en sí e incluyen información como ubicación, fotos de la cámara y configuraciones del sistema.
  2. Privacidad de la Plataforma: Estos datos son generados por la super-app y consisten en información específica del usuario como listas de amigos y detalles de contacto.
  3. Privacidad de Entrada del Usuario: Este tipo es información que los usuarios ingresan activamente, como nombres, datos de salud y preferencias personales.

Entender cómo se accede a estas categorías de datos de privacidad es crucial para captar la extensión de la recolección de datos personales en las sub-apps.

El Problema de la Sobre-Recolección de Privacidad

Una pregunta central de investigación es si las sub-apps recogen más datos de privacidad de los que divulgan. Si las sub-apps están recopilando datos silenciosamente sin informar a los usuarios, esto puede llevar a graves riesgos de privacidad. Un ejemplo resalta una sub-app asistente estudiantil que recopila información de Bluetooth y del dispositivo sin mencionar esto en su política de privacidad. Estas prácticas pueden exponer datos sensibles sin que los usuarios sean conscientes.

Mientras que la sobre-recolección de privacidad ha sido abordada en aplicaciones móviles y web, las sub-apps enfrentan desafíos únicos. Sus procesos de desarrollo son diferentes de las aplicaciones tradicionales, lo que dificulta más monitorear sus prácticas de recolección de datos de manera efectiva.

Presentando SPOChecker

Para abordar el problema de la sobre-recolección de privacidad, desarrollamos una herramienta llamada SPOChecker. Esta herramienta analiza automáticamente las sub-apps de WeChat para detectar comportamientos de sobre-recolección de privacidad. Funciona examinando el código y las políticas de privacidad de las sub-apps, identificando los datos que recopilan y comparando esto con lo que afirman recoger.

Usando SPOChecker, evaluamos un amplio conjunto de datos de sub-apps de WeChat para medir la extensión y las implicaciones de la sobre-recolección de privacidad.

Conjunto de Datos y Hallazgos

Recopilamos datos de 5,521 sub-apps populares de WeChat para entender la prevalencia de la sobre-recolección de privacidad.

Baja Cumplimiento de Políticas de Privacidad

Un hallazgo significativo fue que solo el 45.48% de las sub-apps tenían políticas de privacidad válidas. Esta baja tasa indica que muchas sub-apps no brindan suficiente información sobre sus prácticas de recolección de datos, dejando a los usuarios en la oscuridad.

Popularidad y Políticas de Privacidad

Un análisis adicional reveló que las sub-apps más populares tienden a tener tasas más altas de políticas de privacidad válidas. Esto sugiere que la confianza y el compromiso del usuario podrían estar relacionados con mejores prácticas de privacidad.

Rol de los Sub-Paquetes

Descubrimos que las sub-apps utilizan muchos paquetes de código, con un promedio de más de 12 paquetes por sub-app. Esto indica que las sub-apps son complejas en su estructura, y las políticas de privacidad deberían tener en cuenta cada aspecto de su diseño.

Prevalencia de la Sobre-Recolección

Nuestros hallazgos indicaron que el 19.47% de las sub-apps que estudiamos contenían señales de sobre-recolección de privacidad. Las tasas de sobre-recolección variaron significativamente, dependiendo principalmente del tipo de datos que se estaban accediendo. En general, más de la mitad de las sub-apps estudiadas o carecían de políticas de privacidad o tenían políticas que no reflejaban con precisión sus prácticas de recolección de datos.

Características de los Datos Sobre-Recolectados

Diferentes tipos de datos de privacidad mostraron tasas diferentes de sobre-recolección. Por ejemplo, se encontró que los ítems de privacidad de entrada del usuario fueron sobre-recolectados más frecuentemente que la privacidad de la plataforma. Esta discrepancia sugiere que la privacidad de entrada del usuario, que tiende a ser más subjetiva, presenta desafíos únicos en el monitoreo y la regulación.

Partes Interesadas y Responsabilidades

El análisis del ecosistema de sub-apps revela varias partes interesadas:

  1. Proveedores de Super-apps: Ellos crean la plataforma para las sub-apps y deben hacer cumplir regulaciones sobre privacidad de datos.
  2. Proveedores de Servicios: Ellos operan sub-apps individuales y son responsables de la transparencia en sus políticas de privacidad.
  3. Desarrolladores de Sub-apps: Ellos construyen sub-apps y deben asegurar que la privacidad del usuario esté protegida a través de prácticas de codificación adecuadas y divulgaciones.

Cada parte interesada tiene un papel que desempeñar para asegurar que los datos de los usuarios sean recolectados de manera responsable y compartidos de manera transparente.

Problemas con las Guías de Privacidad Existentes

Actualmente, muchas super-apps, incluyendo WeChat, no imponen requisitos estrictos de privacidad para las sub-apps. Aunque brindan algún nivel de protección a la privacidad a través de solicitudes de permisos y guías, la efectividad de estas medidas es limitada. Muchas sub-apps pueden eludir estos sistemas, dejando muchos ítems de privacidad sin regular.

Mecanismos de Permiso Insuficientes

El sistema de permisos en WeChat solo cubre un pequeño número de ítems de privacidad. Muchas recolecciones de datos sensibles ocurren sin el consentimiento explícito del usuario debido a la cobertura incompleta de estos sistemas.

Guías de Protección de Privacidad Inadecuadas

Aunque WeChat tiene guías de protección de privacidad para que los desarrolladores las completen, estas guías no siempre son seguidas o revisadas rigurosamente. Como resultado, algunas sub-apps pueden presentar declaraciones de privacidad vagas o vacías, contribuyendo a la confusión y falta de transparencia para los usuarios.

Lecciones Aprendidas

Varias lecciones emergieron de este análisis:

  • La baja tasa de políticas de privacidad válidas indica una necesidad crítica de mejorar las regulaciones en el ecosistema de sub-apps.
  • Las partes interesadas deben tomar en serio sus responsabilidades para construir confianza y proteger la privacidad del usuario.
  • Las políticas de privacidad deberían ser más explícitas y completas para reducir la ambigüedad y desinformación sobre la recolección de datos.

Conclusión

La investigación destaca el importante problema de la sobre-recolección de privacidad en las sub-apps de WeChat, revelando una compleja red de responsabilidades entre diferentes partes interesadas. Hace un llamado a regulaciones más robustas, mejor monitoreo y una mayor conciencia de los usuarios para asegurar que los datos personales se gestionen de manera responsable. A medida que el modelo app-en-app continúa ganando popularidad, estas lecciones serán vitales para construir un paisaje digital más confiable.

Fuente original

Título: Understanding Privacy Over-collection in WeChat Sub-app Ecosystem

Resumen: Nowadays the app-in-app paradigm is becoming increasingly popular, and sub-apps have become an important form of mobile applications. WeChat, the leading app-in-app platform, provides millions of sub-apps that can be used for online shopping, financing, social networking, etc. However, privacy issues in this new ecosystem have not been well understood. This paper performs the first systematic study of privacy over-collection in sub-apps (denoted as SPO), where sub-apps actually collect more privacy data than they claim in their privacy policies. We propose a taxonomy of privacy for this ecosystem and a framework named SPOChecker to automatically detect SPO in real-world sub-apps. Based on SPOChecker, we collect 5,521 popular and representative WeChat sub-apps and conduct a measurement study to understand SPO from three aspects: its landscape, accountability, and defense methods. The result is worrisome, that more than half of all studied sub-apps do not provide users with privacy policies. Among 2,511 sub-apps that provide privacy policies, 489 (19.47%) of them contain SPO. We look into the detailed characteristics of SPO, figure out possible reasons and the responsibilities of stakeholders in the ecosystem, and rethink current defense methods. The measurement leads to several insightful findings that can help the community to better understand SPO and protect privacy in sub-apps.

Autores: Xiaohan Zhang, Yang Wang, Xin Zhang, Ziqi Huang, Lei Zhang, Min Yang

Última actualización: 2023-06-14 00:00:00

Idioma: English

Fuente URL: https://arxiv.org/abs/2306.08391

Fuente PDF: https://arxiv.org/pdf/2306.08391

Licencia: https://creativecommons.org/licenses/by-nc-sa/4.0/

Cambios: Este resumen se ha elaborado con la ayuda de AI y puede contener imprecisiones. Para obtener información precisa, consulte los documentos originales enlazados aquí.

Gracias a arxiv por el uso de su interoperabilidad de acceso abierto.

Enlaces de referencia
Temas referenciados

Más de autores

Artículos similares