La confianza del usuario es fundamental para el éxito de los desarrolladores de todos los tamaños. En Google Play Store, nuestro objetivo es ayudar a los desarrolladores a aumentar la confianza de sus usuarios, mediante la aparición de señales en la Consola del desarrollador sobre cómo mejorar su postura de privacidad. Con este objetivo, les mostramos un mensaje a los desarrolladores cuando creemos que su aplicación está pidiendo permiso que probablemente no sea necesario.
Esto es importante porque numerosos estudios han demostrado que la confianza del usuario puede verse afectada cuando el propósito de un permiso no está claro.1 Además, la investigación ha demostrado que cuando los usuarios tienen la opción de elegir entre aplicaciones similares, y una de ellas solicita menos permisos que la otra, eligen la aplicación con menos permisos.2
Determinar si una solicitud de permiso es necesaria o no puede ser un desafío. Los desarrolladores de Android solicitan permisos en sus aplicaciones por muchas razones, algunas relacionadas con la funcionalidad principal y otras relacionadas con la personalización, las pruebas, la publicidad y otros factores. Para hacer esto, identificamos un conjunto de aplicaciones de pares con una funcionalidad similar y comparamos las solicitudes de permiso de un desarrollador con las de sus pares. Si un porcentaje muy grande de estas aplicaciones similares no está pidiendo un permiso, y el desarrollador sí lo está, le informamos que su solicitud de permiso es inusual en comparación con sus pares. Nuestra determinación del conjunto de pares es más complicada que simplemente usar las categorías de Play Store. Nuestro algoritmo combina múltiples señales que alimentan el procesamiento del lenguaje natural (PNL) y la tecnología de aprendizaje profundo para determinar este conjunto. Una explicación completa de nuestro método se describe en nuestra publicación reciente, titulada "Reducción de solicitudes de permisos en aplicaciones móviles"Que apareció en la Conferencia de Medición de Internet (IMC) en octubre de 2019.3 (Tenga en cuenta que el umbral para la aparición de la señal de advertencia, como se indica en este documento, está sujeto a cambios).
Presentamos esta información a los desarrolladores en Play Console y dejamos que el desarrollador tome la decisión final sobre si el permiso es realmente necesario o no. Es posible que el desarrollador tenga una característica diferente a todos sus pares. Una vez que un desarrollador elimina un permiso, ya no verá la advertencia. Tenga en cuenta que la advertencia se basa en nuestro cálculo del conjunto de aplicaciones similares similares a las de los desarrolladores. Este es un conjunto en evolución, frecuentemente recalculado, por lo que el mensaje puede desaparecer si hay un cambio subyacente en el conjunto de aplicaciones de pares y su comportamiento. Del mismo modo, incluso si un desarrollador no está viendo una advertencia sobre un permiso, podría hacerlo en el futuro si el conjunto de pares subyacente y su comportamiento cambian. A continuación se muestra un ejemplo de advertencia.
Esta advertencia también ayuda a recordar a los desarrolladores que no están obligados a incluir todas las solicitudes de permisos que se producen dentro de las bibliotecas que incluyen dentro de sus aplicaciones. Nos complace decir que en el primer año después de la implementación de este aviso, casi el 60% de las aplicaciones advertidas eliminaron los permisos. Además, esto ocurrió en todas las categorías de Play Store y en todos los niveles de popularidad de la aplicación. La amplitud de esta respuesta del desarrollador afectó a más de 55 mil millones de instalaciones de aplicaciones.3 Esta advertencia es un componente de la estrategia más amplia de Google para ayudar a proteger a los usuarios y ayudar a los desarrolladores a lograr buenas prácticas de seguridad y privacidad, como Proyecto estroboscópico, nuestras pautas sobre las mejores prácticas de permisosy nuestros requisitos sobre manejo seguro del tráfico.
Agradecimientos
Los equipos de Giles Hogben, Android Play Dashboard y Pre-Launch Report
Referencias
(1) Modelar las preferencias de privacidad de la aplicación móvil de los usuarios: Restaurar la usabilidad en un mar de configuraciones de permisos, por J. Lin B. Liu, N. Sadeh y J. Hong. En Proceedings of Usenix Symposium on Privacy & Security (SOUPS) 2014.
(2) Uso de ejemplos personales para mejorar la comunicación de riesgos para las decisiones de seguridad y privacidad, por M. Harbach, M. Hettig, S. Weber y M. Smith. En Actas de la Conferencia SIGCHI sobre Factores de Computación Humana en Sistemas de Computación, 2014.
(3) Reducción de solicitudes de permisos en aplicaciones móviles, por S. T. Peddinti, I. Bilogrevic, N. Taft, M Pelikan, U. Erlingsson, P. Anthonysamy y G. Hogben. En Actas de la Conferencia de Medición de Internet de ACM (IMC) 2019.
