Apps gerangschikt op respect voor privacy

Weinig mensen zullen tijdens het installeren van een nieuwe gratis app de pagina’s doorlezen met informatie over de toegang tot privégegevens die de app door de installatie verkrijgt. Bouwers van apps kunnen zo allerlei verkoopbare gegevens binnenhalen. Daarom ontwikkelde RUG-computerwetenschapper Fadi Mohsen, samen met collega’s van de University of Michigan-Flint (VS) en de Palestijnse An-Najah National University, een algoritme dat vergelijkbare apps op respect voor privacy rangschikt. Een beschrijving van het systeem is op 2 september gepubliceerd in het tijdschrift Concurrency and Computation: Practice and Experience.

Iedere nieuwe app die je installeert moet duidelijk maken welke gegevenstoegang hij wil. ‘Maar gebruikers besteden daar doorgaans niet veel aandacht aan’, zegt Mohsen. ‘Zij zijn daarom de zwakste schakel in privacybescherming. Om die reden wilden we een systeem ontwikkelen om risicovolle apps terug te dringen dat niet gebaseerd is op de oplettendheid en technische kennis van gebruikers.’

Functionaliteit

Mohsen en zijn collega’s verzamelden gegevens van meer dan een miljoen apps in de Google Play Store, om te gebruiken in testsystemen en experimenten. ‘We maakten gebruik van eigenschappen die we haalden uit de metadata van deze apps en hun configuratiebestanden. Verder bouwden we een webpagina om gebruikers naar hun privacy-voorkeuren te vragen.’ De ontwikkelde methode geeft een score aan apps, gebaseerd op de app-eigenschappen en op de voorkeuren van de gebruiker. Die score laat zien hoeveel gegevens een app binnenhaalt in vergelijking met andere apps uit dezelfde categorie. Dat levert uiteindelijk een ranglijst van die apps op.

Vervolgens bouwden de wetenschappers een experimentele zoekmachine voor apps, gebaseerd op hun methodologie. De apps die bij de zoekopdracht bovenaan staan leveren het kleinste risico op voor de privacy. Mohsen: ‘Een normale zoekmachine ordent de apps op basis van functionaliteit. Die van ons vergelijkt apps met een vergelijkbare functionaliteit op basis van de privacy score.’

Advertenties

Het algoritme dat de rangschikking maakt is gebaseerd op twee scores: de score voor gevraagde toegang tot gegevens, en voor meeluisteren. De eerste bepaalt hoeveel toegang de app krijgt op de telefoon van de gebruiker, zoals het lezen van sms’jes, toegang tot je kalender of zelfs het kunnen wissen van foto’s. De tweede score geeft de app de mogelijkheid om gebeurtenissen op de telefoon te volgen, zoals wanneer de gebruiker actief is en of er een nieuwe sms is binnengekomen. ‘Deze informatie die de gratis apps verzamelen kan worden verkocht, bijvoorbeeld aan bedrijven die gerichte advertenties aanbieden’, legt Mohsen uit. Het systeem dat hij met zijn collega’s bouwde kan gebruikers helpen om de meest risicovolle apps te weren, zonder dat ze alle details over privacy hoeven te lezen.

De website en zoekmachine zijn getest op een proefpanel. ‘Daar kwam uit dat deelnemers het systeem waarin ze hun voorkeuren voor toegang tot gegevens aangeven gebruiksvriendelijk vinden. Zij gaven ook aan dat ze het op prijs zouden stellen wanneer app winkels hun voorkeuren zouden meewegen bij het aanbevelen van bepaalde apps’, aldus Mohsen. Dit laat zien dat de gebruikte aanpak om gebruikers apps te laten kiezen die hun privacy respecteren nuttig en effectief is.

Google

Het mooiste scenario zou zijn dat bedrijven als Google dit systeem nu gaan gebruiken in de zoekmachines voor hun app stores. Maar een andere opties is dat er een aparte website komt, vergelijkbaar met de site die voor het onderzoek is gebouwd, waarop gebruikers hun voorkeuren kunnen aangeven, waarna ze via de zoekmachine van deze site apps gaan zoeken. Mohsen: ‘Zulke onafhankelijke websites zijn tegenwoordig heel normaal, dus die aanpak kan zeker werken.’

Ondertussen is Mohsen al weer met andere privacy schendingen bezig. ‘We ontwikkelen nu een systeem dat het gedrag van apps volgt na de installatie. In sommige gevallen vragen updates namelijk om extra gegevenstoegang van de gebruikers.’ Uiteindelijk zouden de systemen die hij bouwt apps die de privacy respecteren een voordeel moeten bieden boven de meer risicovolle varianten. ‘Ons doel is om app ontwikkelaars die oog hebben voor de privacy van de gebruikers te helpen.’

Referentie: Fadi Mohsen, Hamed Abdelhaq and Halil Bisgin: Security-Centric Ranking Algorithm and Two Privacy Scores To Mitigate Intrusive Apps. Concurrency and Computation: Practice and Experience, 2 september 2021.