Comparta primero, pregunte después (¿o nunca?) Comprender el consentimiento explícito para violaciones de GDPR en aplicaciones de Android | POR FAKHMI KEMAL ISLAM | Abril de 2022
Si le dices a tu esposa que te gusta comer mochilas de bicicleta caras: discúlpate en lugar de pedirle permiso 🙂
El autor siente que esta expresión es muy adecuada para lo que está sucediendo en la aplicación. androide contra violaciones RGPD Es decir: la cesión de datos sin el consentimiento previo del usuario.
Esta vez el autor hizo evaluacion de lectura critica Un artículo muy interesante titulado: Comparta primero, pregunte después (¿o nunca?) Investigue las aplicaciones de Android que violan el consentimiento explícito de GDPR. USENIX 2021
pequeñaDesde el Reglamento General de Protección de Datos (RGPD) A partir de mayo de 2018, los servicios en línea deben obtener el consentimiento explícito del usuario antes de compartir los datos personales de un usuario con terceros que utilicen dichos datos para sus propios fines. A pesar de la extensa investigación sobre estas infracciones en la web, existe una falta de comprensión por parte de la comunidad de estas infracciones en el ecosistema móvil. Los autores realizan la primera medición a gran escala de una aplicación de Android para comprender el estado actual de las infracciones de consentimiento explícito del RGPD.
Específicamente, los autores crearon una canalización semiautomática para detectar datos enviados a Internet sin aprobación previa y la aplicaron a 86 163 grupos de aplicaciones. androidePor dominio que recibe datos protegidos RGPD Sin aprobación previa, trabajamos con expertos legales para evaluar si estos dominios vinculados son controladores de datos de terceros. Para comprender el razonamiento detrás de esto, los autores realizaron una campaña de notificación para informar a los desarrolladores afectados y recopilar información de sus respuestas.
A continuación se muestra un resumen de los autores del artículo: Zhongtian Nguyen, et al. — Intento de evaluar las infracciones del RGPD en las aplicaciones de Android.
El aumento de la recopilación y el seguimiento de datos de los consumidores por parte de la industria de la publicidad en línea es actualmente un problema importante de los derechos de datos personales (por ejemplo, los usuarios son rastreados y perfilados en secreto.
Sin embargo, independientemente de la política de privacidad del RGPD, para cumplir con la ley, si un tercero utiliza los datos para sus propios fines (como personalizar la publicidad), la aplicación debe obtener el consentimiento explícito del usuario antes de compartir datos personales con el tercero
La imagen de arriba muestra un ejemplo de diálogos de permisos que los usuarios móviles de la UE observan en muchas de las aplicaciones que usan hoy en día.
Los investigadores muestran que muchos sitios tienen el potencial de violar los términos de consentimiento de GDPR, como no permitir que los usuarios se opongan a la recopilación o publicación de datos. Rastreador de cookies El análisis se realiza antes del consentimiento explícito del usuario. Si bien muchos investigadores han trabajado para detectar y analizar los avisos de consentimiento y su impacto en las industrias de publicidad y seguimiento web posteriores al RGPD, ningún estudio ha medido las violaciones del RGPD del consentimiento explícito a las aplicaciones móviles.
Para las aplicaciones móviles, la mayoría de los investigadores se enfocan en analizar la política de privacidad de la aplicación para identificar violaciones, es decir, para determinar si el comportamiento de la aplicación es consistente con lo establecido en la política de privacidad de la aplicación.
- Pregunta 1: ¿Cuántas aplicaciones envían datos personales sin consentimiento previo? Mediante el desarrollo de un sistema semiautomatizado para solucionar este problema, analizamos un conjunto de datos de 86 163 aplicaciones para detectar a qué hosts envía datos una aplicación sin el consentimiento explícito previo del usuario.
- Pregunta dos: De las aplicaciones que envían datos, ¿cuántas los envían a un controlador de datos según el RGPD? Al analizar los documentos legales proporcionados por proveedores externos, determinamos cuáles de ellos realmente deben considerarse controladores de datos, lo que nos permite considerar incumplimientos del consentimiento de GDPR.
- Pregunta 3: ¿Los desarrolladores conocen los requisitos del RGPD y los problemas que pueden surgir por no cumplir con las leyes establecidas? Para abordar este problema, alertamos a los desarrolladores afectados, proporcionamos detalles de las partes con las que sus aplicaciones se contactaron sin aprobación previa e investigamos cuándo estaban integrando SDK de terceros de manera compatible con GDPR.
¿Cómo funciona el proceso de recuperación y procesamiento de datos para su análisis?
- Estudio empírico de 86.163 solicitudes androide
- usar recopilación de tráfico de red y aplicacionesInstalar Ver los datos que se recopilan sin la interacción del usuario
- usar ID de usuario cerca del dominio esperado en un formato
- Agrupe los resultados por conjunto de datos: Aplicaciones de gama alta y aplicaciones de cola larga, UID y parámetros
¿Cuáles fueron los resultados del estudio obtenido?
- Identificación del dominio del anuncio — del 69 nombre de dominio de tercerosbien 45 campo D anunciar.
- Análisis en profundidad de las infracciones — 34% del total solicitud Violar el requisito de consentimiento de GDPR, es decir, sin el consentimiento explícito del usuario.
- Identificar jugadores clave — Bien 5 campo Máster relacionado anunciar Recibir parámetros AAID de ambos conjunto de datos
- Ventajas entre conjuntos de datos — Facebook domina ambos conjuntos de datos Aplicaciones de alto perfil y aplicaciones de cola larga, mientras que la unificación – por lo general se utiliza para juego dominar Aplicaciones de cola larga.
- General – El análisis comparativo de los autores concluyó que el envío de datos personales sin previo consentimiento explícito está muy extendido, involucrando a ambas partes Aplicaciones de alto perfil y Aplicaciones de cola larga.
Toda la información de antecedentes, métodos y resultados también se presenta arriba.Esta es una evaluación de lectura crítica y pongo dos puntos de enfoque, fortalezas y debilidades. Papel:
Ventajas de la tesis:
- Ha habido excelentes comentarios para todas las partes de terceros, proveedores de tiendas de aplicaciones y desarrolladores.
- El documento hace un buen trabajo al describir las violaciones que representan varios conjuntos de datos y los mapea muy bien para ver a los principales actores detrás de las violaciones.
- El método utilizado es muy sencillo y muy lógico, por lo que se puede rediseñar.
- Los parámetros presentados representan privacidad Se viola y está vinculado a las reglas de GDPR.
Debilidades de la tesis:
- El enfoque del marco que realmente sucede es diferente de lo esperado, por ejemplo, cuando el usuario comienza a interactuar, se encuentra que hay una aplicación que envía datos que no están relacionados con la aprobación.
- está sucediendo falso positivo Debido al aviso de aprobación interna Solicitud de permiso de tiempo de ejecución.
- Si se produce una conexión SSL Entonces no puede detectar la operación y los datos enviados.
Mientras estoy aquí, el autor expresa sus disculpas físicas y psicológicas a todos mis amigos. Que este Ramadán sea espacioso y exitoso en la adoración por la verdadera devoción. Amén.
Entonces, ¿todavía se perdona compartir datos sin consentimiento? 🙂
¡Discutamos juntos!