La forma en que una aplicación móvil dice que recopilará o compartirá la información personal de un usuario con terceros a menudo parece ser inconsistente con el comportamiento real de la aplicación, ha revelado un nuevo sistema de análisis automatizado desarrollado por la Universidad Carnegie Mellon.
Un análisis de casi 18,000 aplicaciones gratuitas populares de la tienda Google Play descubrió que casi la mitad carecía de una política de privacidad, a pesar de que el 71 por ciento de ellas parece estar procesando información de identificación personal y, por lo tanto, se les exigiría que explicaran cómo, según las leyes estatales, como elLey de Protección de Privacidad en Línea de California CalOPPA.
Incluso aquellas aplicaciones que tenían políticas a menudo tenían inconsistencias. Por ejemplo, hasta el 41 por ciento de estas aplicaciones podrían estar recopilando información de ubicación y el 17 por ciento podría compartir esa información con terceros sin indicarlo en su política de privacidad.
"En general, cada aplicación parece exhibir una media de 1.83 posibles inconsistencias y esa es una gran cantidad", dijo Norman Sadeh, profesor de informática en el Instituto de Investigación de Software de CMU. La cantidad de discrepancias no es necesariamente sorprendente para los investigadores de privacidad,agregó, "pero si estás hablando con alguien más, es probable que digan '¡Dios mío!'"
Sebastian Zimmeck, un asociado postdoctoral que diseñó e implementó este sistema con Sadeh, presentará sus hallazgos del 17 al 19 de noviembre en el Simposio de Otoño de AAAI sobre Privacidad y Tecnologías del Lenguaje en Arlington, Virginia.
Varias leyes federales y estatales requieren que las aplicaciones móviles tengan políticas de privacidad, como la Ley de Protección de Privacidad en Línea para Niños COPPA para aplicaciones móviles dirigidas a niños que recopilan información de identificación personal. Sin embargo, CalOPPA requiere políticas de privacidad para cualquier aplicación móvilque recopila información de identificación personal, independientemente de si está dirigida a niños o adultos. Delaware tiene una ley similar. Estas leyes estatales sirven efectivamente como un umbral mínimo de privacidad porque los editores de aplicaciones generalmente no comercializan aplicaciones específicas del estado.
El grupo de Sadeh está colaborando con la Oficina del Procurador General de California para utilizar una versión personalizada de su sistema para verificar el cumplimiento de CalOPPA y evaluar la efectividad de CalOPPA y la legislación "No rastrear".
"El hecho de que el sistema automatizado encuentre un posible requisito de privacidad inconsistente en una aplicación no significa que necesariamente exista un problema", enfatizó Sadeh.
Es posible que cuando el sistema busque la política de privacidad no lo encuentre; el sistema actualmente mira la tienda de aplicaciones, el sitio web de la compañía y también escanea el código de la aplicación. También es posible que cuando analiza elel código fuente de la aplicación puede hacer suposiciones erróneas sobre cómo el código maneja la información personal.
"Es por eso que un humano necesitaría validar los hallazgos del sistema automatizado antes de que se llevara a cabo cualquier acción de cumplimiento o correctiva", dijo Sadeh.
Sin embargo, con sustancialmente más de un millón de aplicaciones que ya están en Google Play y la cantidad que crece día a día, dicho sistema podría ayudar a los desarrolladores a detectar problemas con sus aplicaciones antes de que se comercialicen y podría ayudar a detectar a los infractores de las leyes una tarea más manejablepara reguladores y activistas de la privacidad.
El sistema automatizado utiliza procesamiento de lenguaje natural y aprendizaje automático para analizar el texto de las políticas de privacidad. Luego examina el código de computadora de la aplicación para ver si su comportamiento sugiere que comparte información personal y, por lo tanto, debe tener una política de privacidad. También verifica siEl comportamiento de recopilación y uso compartido de datos de la aplicación es coherente con una política de privacidad existente.
Este enfoque es mucho más rápido que cualquier revisión humana. Hace dos años, por ejemplo, 1.200 aplicaciones fueron revisadas en una semana por los esfuerzos conjuntos de 26 agencias internacionales de aplicación de la privacidad. El sistema Carnegie Mellon, en comparación, pudo revisarcasi 18,000 en aproximadamente 31 horas, o aproximadamente 6 segundos por aplicación.
"Con unos pocos servidores, deberíamos poder escanear todas las aplicaciones gratuitas en la tienda Google Play todos los meses", dijo Sadeh.
Sin embargo, aún requeriría mucha mano de obra para revisar sistemáticamente las aplicaciones marcadas por el sistema automatizado. En cambio, el sistema podría usarse para asignar puntajes a las aplicaciones y ayudar a los reguladores a enfocarse en las que aparentemente son más atroces. Esto podría resultar encartas o correos electrónicos que se envían a los desarrolladores solicitando una aclaración.
"Se esperan algunas discrepancias porque no todos los desarrolladores son sofisticados con respecto a la privacidad", dijo Sadeh.
Por ejemplo, un error común es crear una aplicación que utiliza Google Maps, pero no menciona el procesamiento de la información de ubicación en la política de privacidad relacionada.
"Cada vez que usa Google Maps", señaló, "está compartiendo información personal con Google".
La Fundación Nacional de Ciencias, la Agencia de Proyectos de Investigación Avanzada de Defensa y el Laboratorio de Investigación de la Fuerza Aérea apoyaron este trabajo. Además de Sadeh, los investigadores incluyeron a Sebastian Zimmeck, Ziqi Wang, Lieyong Zou, Florian Schaub, Shomir Wilson y Bin Liu de CarnegieMellon's School of Computer Science, así como Steven M. Bellovin de la Universidad de Columbia, Roger Iyengar de la Washington University of St. Louis y Joel Reidenberg de la Fordham University School of Law.
Fuente de la historia :
Materiales proporcionado por Universidad Carnegie Mellon . Original escrito por Byron Spice. Nota: El contenido puede ser editado por estilo y longitud.
Cita esta página :