Simple Science

Ciência de ponta explicada de forma simples

# Informática# Criptografia e segurança

Riscos de Privacidade nos Sub-Aplicativos do WeChat

Investigando a coleta excessiva de privacidade nos sub-apps cada vez mais populares do WeChat.

― 7 min ler

Sub-aplicativos doSub-aplicativos doWeChat: Preocupações coma Privacidadeem apps móveis populares.Explorando a coleta excessiva de dados
Índice

Aplicativos móveis estão cada vez mais dependendo de um modelo onde um aplicativo principal (muitas vezes chamado de super-app) abriga vários aplicativos menores conhecidos como sub-apps. WeChat é um exemplo perfeito disso, oferecendo um monte de sub-apps para serviços variados como compras, finanças e redes sociais. Embora essa configuração seja conveniente para os usuários, levanta preocupações significativas de privacidade sobre quanto dado pessoal essas sub-apps estão coletando.

Esse artigo busca investigar a questão da sobre-coleta de privacidade nas sub-apps do WeChat. A sobre-coleta de privacidade acontece quando as sub-apps reúnem mais dados pessoais do que elas dizem que coletam em suas Políticas de Privacidade. Queremos detalhar esse problema, explorar sua magnitude, as responsabilidades das partes envolvidas e o que pode ser feito para melhorar a proteção da privacidade.

O Modelo App-in-App

O modelo app-in-app permite que os usuários acessem vários serviços através de um único aplicativo. Um super-app serve como a plataforma principal, oferecendo uma gama de funcionalidades através das sub-apps. Essa conveniência faz com que muitas empresas, especialmente startups, desenvolvam serviços usando sub-apps, levando a um aumento na disponibilidade delas. De fato, há mais sub-apps no WeChat do que aplicativos tradicionais disponíveis nas lojas de aplicativos normais.

Dados de Privacidade Acessados pelas Sub-apps

As sub-apps podem acessar diferentes tipos de dados de privacidade dependendo de como são projetadas e quais permissões são dadas. As principais categorias incluem:

  1. Privacidade do Dispositivo: Esses dados vêm do próprio dispositivo e incluem informações como localização, fotos da câmera e configurações do sistema.
  2. Privacidade da Plataforma: Esses dados são gerados pelo super-app e consistem em informações específicas do usuário, como listas de amigos e detalhes de contato.
  3. Privacidade de Entrada pelo Usuário: Esse tipo é a informação que os usuários inserem ativamente, como nomes, dados de saúde e preferências pessoais.

Compreender como essas categorias de dados de privacidade são acessadas é crucial para entender a extensão da coleta de dados pessoais nas sub-apps.

O Problema da Sobre-Coleta de Privacidade

Uma questão central de pesquisa é se as sub-apps coletam mais dados de privacidade do que divulgam. Se as sub-apps estiverem coletando dados silenciosamente sem informar os usuários, isso pode levar a riscos severos à privacidade. Um exemplo destaca uma sub-app de assistente estudantil que coleta informações de Bluetooth e do dispositivo sem declarar isso em sua política de privacidade. Essas práticas podem expor dados sensíveis sem que os usuários tenham consciência.

Enquanto a sobre-coleta de privacidade tem sido abordada em aplicativos móveis e web, as sub-apps enfrentam desafios únicos. Seus processos de desenvolvimento diferem dos aplicativos tradicionais, tornando mais difícil monitorar suas práticas de coleta de dados de forma eficaz.

Apresentando o SPOChecker

Para lidar com o problema da sobre-coleta de privacidade, desenvolvemos uma ferramenta chamada SPOChecker. Essa ferramenta analisa automaticamente sub-apps do WeChat para detectar comportamentos de sobre-coleta de privacidade. Ela funciona examinando o código das sub-apps e as políticas de privacidade, identificando os dados que coletam e comparando isso com o que afirmam coletar.

Usando o SPOChecker, avaliamos um amplo conjunto de dados de sub-apps do WeChat para medir a extensão e as implicações da sobre-coleta de privacidade.

Conjunto de Dados e Descobertas

Coletamos dados de 5.521 sub-apps populares do WeChat para entender a prevalência da sobre-coleta de privacidade.

Baixa Conformidade com Políticas de Privacidade

Uma descoberta significativa foi que apenas 45,48% das sub-apps tinham políticas de privacidade válidas. Essa baixa taxa indica que muitas sub-apps não fornecem informações suficientes sobre suas práticas de coleta de dados, deixando os usuários no escuro.

Popularidade e Políticas de Privacidade

Uma análise adicional revelou que sub-apps mais populares tendem a ter taxas mais altas de políticas de privacidade válidas. Isso sugere que a confiança e o engajamento do usuário podem estar ligados a melhores práticas de privacidade.

Papel dos Sub-Pacotes

Descobrimos que as sub-apps utilizam muitos pacotes de código, com uma média de mais de 12 pacotes por sub-app. Isso indica que as sub-apps são complexas em sua estrutura, e as políticas de privacidade devem levar em conta todos os aspectos de seu design.

Prevalência da Sobre-Coleta

Nossas descobertas indicaram que 19,47% das sub-apps que estudamos apresentavam sinais de sobre-coleta de privacidade. As taxas de sobre-coleta variaram significativamente, dependendo principalmente do tipo de dado sendo acessado. No geral, mais da metade das sub-apps estudadas ou não tinham políticas de privacidade ou tinham políticas que não refletiam com precisão suas práticas de coleta de dados.

Características dos Dados Sobre-Coletados

Diferentes tipos de dados de privacidade exibiram taxas variadas de sobre-coleta. Por exemplo, itens de privacidade de entrada do usuário foram encontrados sendo sobre-coletados com mais frequência do que a privacidade da plataforma. Essa discrepância sugere que a privacidade de entrada do usuário, que tende a ser mais subjetiva, apresenta desafios únicos em monitoramento e regulação.

Partes interessadas e Responsabilidades

A análise do ecossistema das sub-apps revela várias partes interessadas:

  1. Provedores de Super-apps: Eles criam a plataforma para as sub-apps e devem impor regulamentos sobre privacidade de dados.
  2. Provedores de Serviços: Eles operam sub-apps individuais e são responsáveis por transparência em suas políticas de privacidade.
  3. Desenvolvedores de Sub-apps: Eles constroem sub-apps e devem garantir que a privacidade do usuário seja protegida através de práticas de codificação adequadas e divulgações.

Cada parte interessada tem um papel a desempenhar para garantir que os dados dos usuários sejam coletados de forma responsável e compartilhados de forma transparente.

Problemas com Diretrizes de Privacidade Existentes

Atualmente, muitos super-apps, incluindo o WeChat, não impõem requisitos rigorosos de privacidade para as sub-apps. Embora ofereçam um certo nível de proteção de privacidade através de solicitações de permissão e diretrizes, a eficácia dessas medidas é limitada. Muitas sub-apps conseguem contornar esses sistemas, deixando muitos itens de privacidade sem regulamentação.

Mecanismos de Permissão Insuficientes

O sistema de permissão no WeChat cobre apenas um pequeno número de itens de privacidade. Muitas coletas de dados sensíveis ocorrem sem o consentimento explícito do usuário devido à cobertura incompleta desses sistemas.

Diretrizes de Proteção de Privacidade Inadequadas

Embora o WeChat tenha diretrizes de proteção de privacidade para os desenvolvedores preencherem, essas diretrizes nem sempre são seguidas ou verificadas rigorosamente. Como resultado, algumas sub-apps podem apresentar declarações de privacidade vagas ou vazias, contribuindo para a confusão e falta de transparência para os usuários.

Lições Aprendidas

Várias lições surgiram dessa análise:

  • A baixa taxa de políticas de privacidade válidas indica uma necessidade crítica de regulamentos melhorados no ecossistema das sub-apps.
  • As partes interessadas devem levar suas responsabilidades a sério para construir confiança e proteger a privacidade do usuário.
  • As políticas de privacidade devem ser mais explícitas e abrangentes para reduzir a ambiguidade e desinformação sobre a coleta de dados.

Conclusão

A pesquisa destaca o problema significativo da sobre-coleta de privacidade nas sub-apps do WeChat, revelando uma rede complexa de responsabilidades entre diferentes partes interessadas. Ela clama por regulamentos mais robustos, melhor monitoramento e maior conscientização dos usuários para garantir que os dados pessoais sejam geridos de forma responsável. À medida que o modelo app-in-app continua a ganhar popularidade, essas lições serão vitais para construir um cenário digital mais confiável.

Fonte original

Título: Understanding Privacy Over-collection in WeChat Sub-app Ecosystem

Resumo: Nowadays the app-in-app paradigm is becoming increasingly popular, and sub-apps have become an important form of mobile applications. WeChat, the leading app-in-app platform, provides millions of sub-apps that can be used for online shopping, financing, social networking, etc. However, privacy issues in this new ecosystem have not been well understood. This paper performs the first systematic study of privacy over-collection in sub-apps (denoted as SPO), where sub-apps actually collect more privacy data than they claim in their privacy policies. We propose a taxonomy of privacy for this ecosystem and a framework named SPOChecker to automatically detect SPO in real-world sub-apps. Based on SPOChecker, we collect 5,521 popular and representative WeChat sub-apps and conduct a measurement study to understand SPO from three aspects: its landscape, accountability, and defense methods. The result is worrisome, that more than half of all studied sub-apps do not provide users with privacy policies. Among 2,511 sub-apps that provide privacy policies, 489 (19.47%) of them contain SPO. We look into the detailed characteristics of SPO, figure out possible reasons and the responsibilities of stakeholders in the ecosystem, and rethink current defense methods. The measurement leads to several insightful findings that can help the community to better understand SPO and protect privacy in sub-apps.

Autores: Xiaohan Zhang, Yang Wang, Xin Zhang, Ziqi Huang, Lei Zhang, Min Yang

Última atualização: 2023-06-14 00:00:00

Idioma: English

Fonte URL: https://arxiv.org/abs/2306.08391

Fonte PDF: https://arxiv.org/pdf/2306.08391

Licença: https://creativecommons.org/licenses/by-nc-sa/4.0/

Alterações: Este resumo foi elaborado com a assistência da AI e pode conter imprecisões. Para obter informações exactas, consulte os documentos originais ligados aqui.

Obrigado ao arxiv pela utilização da sua interoperabilidade de acesso aberto.

Ligações de referência
Tópicos referenciados

Mais de autores

Artigos semelhantes