Des chercheurs enquêtent sur les labels de confidentialité d’Apple

Des chercheurs du CyLab enquêtent sur les labels de confidentialité d'Apple

Une partie de l’étiquette de confidentialité de Twitter dans l’App Store d’Apple. Crédit : CyLab

Les chercheurs de CyLab étudient les étiquettes nutritionnelles de confidentialité depuis plus d’une décennie, alors quand Apple a introduit des étiquettes de confidentialité dans leur app store il y a un peu plus d’un an, les chercheurs étaient impatients de les étudier.

“Naturellement, nous avions beaucoup de questions”, explique Lorrie Cranor, directrice du CyLab, professeure à l’Institut de recherche et d’ingénierie logicielles et de politique publique, et chercheuse principale des premières recherches sur les labels de confidentialité à Carnegie Mellon. “Les étiquettes transmettent-elles des informations précises ? Est-il facile pour les développeurs d’applications de créer les étiquettes ?”

Au prochain ACM Conférence CHI sur les facteurs humains dans les systèmes informatiquesles chercheurs du CyLab présenteront de nouvelles recherches visant ces questions.

Un examen attentif de la conformité et de l’exactitude

Dans un article intitulé “Comprendre les étiquettes nutritionnelles de confidentialité iOS : une analyse exploratoire à grande échelle des données de l’App Store”, les chercheurs de CyLab présentent des mesures complètes des étiquettes nutritionnelles de confidentialité d’Apple pour en savoir plus sur le taux de conformité lors de la création des étiquettes et sur la précision des étiquettes existantes. les étiquettes le sont.

“Personne n’a encore mené une analyse à grande échelle des étiquettes de confidentialité d’Apple comme celle-ci”, déclare Yucheng Li, étudiant du programme de maîtrise en gestion des systèmes d’information du Heinz College et auteur principal de l’étude.

Les chercheurs ont parcouru l’App Store américain d’Apple chaque semaine d’avril à novembre 2021, capturant des informations sur les étiquettes de confidentialité et les métadonnées pour plus de 1,4 million d’applications au total. Les applications qui ont été initialement publiées avant le 8 décembre 2020 (un peu moins de 1,2 million d’applications) n’étaient pas tenues de créer des étiquettes de confidentialité à moins qu’elles ne publient des mises à jour d’applications, mais pouvaient le faire volontairement, et les applications développées après cette date (environ 275 000 applications) ont été obligées de faites-le.

La conformité pour créer les étiquettes a été moyenne.

“Plus de la moitié de toutes les applications de l’App Store n’ont toujours pas de label de confidentialité”, déclare Li. “Bien que le taux de conformité global semble augmenter régulièrement, la vitesse de conformité des anciennes applications est à la baisse. Nous supposons que si les anciennes applications n’ont pas d’étiquette de confidentialité maintenant, elles n’en créeront probablement pas à l’avenir. .”

Les chercheurs ont également découvert que les mises à jour d’applications semblaient être un moteur important de la création d’étiquettes de confidentialité, puisque 64 % des applications ont publié des mises à jour de version en même temps qu’elles publiaient leur étiquette de confidentialité. Enfin, ils ont découvert que parmi les applications qui ont créé une étiquette, 43 % ont effectué au moins une mise à jour, mais moins de 6 % ont mis à jour l’étiquette. Cela signifie que l’étiquette de confidentialité actuelle peut ne pas refléter les informations les plus récentes.

Défis rencontrés par les développeurs

Un deuxième article présenté lors de la conférence, intitulé “Comprendre les défis pour les développeurs de créer des étiquettes nutritionnelles de confidentialité précises” – qui a obtenu une mention honorable de la part des organisateurs de la conférence – a identifié certains défis clés pour les développeurs pour créer des étiquettes de confidentialité, ce qui peut expliquer certains des conclusions de l’article de Li.

“Si les étiquettes ne sont pas exactes, elles feront probablement plus de mal que de bien aux utilisateurs”, déclare Tianshi Li, titulaire d’un doctorat. étudiant à l’Institut d’interaction homme-machine et auteur principal de l’étude. “Nous avons actuellement peu de connaissances sur la capacité des développeurs à créer des étiquettes nutritionnelles de confidentialité.”

Les chercheurs ont observé 12 développeurs iOS créer des étiquettes de confidentialité à l’aide d’une réplique de l’outil de développement d’Apple, puis ont poursuivi avec une interview, les interrogeant sur les pratiques de données de leurs applications et la compréhension des développeurs sur les termes de leurs étiquettes de confidentialité.

“Les développeurs se sont généralement sentis positifs à l’égard des étiquettes nutritionnelles de confidentialité”, déclare Li. “Mais malgré ces réactions positives, les erreurs et les malentendus étaient toujours répandus.”

Neuf des 12 développeurs ont commis des erreurs dans l’étiquette qui n’ont pas été corrigées avant d’y être invité par l’intervieweur. Parmi huit applications qui avaient déjà une étiquette de confidentialité, six ont été recréées de manière incohérente.

Les autres défis auxquels les développeurs ont été confrontés comprenaient les limitations de la documentation d’Apple sur la création d’étiquettes de confidentialité – certains développeurs ont déclaré être confus par le jargon utilisé dans la documentation tandis que d’autres se sont plaints que la documentation utilisait des termes vagues et ambigus ou fournissait des exemples inefficaces – et la surcharge d’informations.

“Les développeurs se sont plaints d’avoir dû lire beaucoup de texte”, explique Li. “Cette surcharge d’informations pourrait avoir d’autres implications que le temps consacré à la création d’étiquettes.”

Un développeur, par exemple, a admis qu’il pouvait ne pas toujours mettre à jour ses étiquettes de confidentialité en temps opportun, car “la mettre à niveau, ou du moins la revoir à chaque mise à jour, serait fastidieuse”.

Les chercheurs affirment que pour que les étiquettes de confidentialité soient adoptées plus largement, il doit y avoir un meilleur soutien pour les développeurs, y compris une meilleure conception et une meilleure évaluation des outils des développeurs pour créer les étiquettes pour servir un plus large éventail de développeurs qui couvrent un éventail de compétences. .

Les professeurs et les étudiants qui ont rédigé ces études font partie du laboratoire CyLab Usable Privacy and Security (CUPS), du laboratoire Computer Human Interaction: Mobility Privacy Security (CHIMPS) et du laboratoire Systems, Networking, and Energy Efficiency (Synergy) de Carnegie Mellon. Université.


Ce nouvel outil pour les développeurs peut aider à préserver la confidentialité des utilisateurs de l’application


Plus d’information:
Yucheng Li et al, Understanding iOS Privacy Nutrition Labels: An Exploratory Large-Scale Analysis of App Store Data, Conférence CHI sur les facteurs humains dans les systèmes informatiques Résumés étendus (2022). DOI : 10.1145/3491101.3519739

Fourni par l’Université Carnegie Mellon

Citation: Des chercheurs enquêtent sur les labels de confidentialité d’Apple (2022, 3 mai) récupéré le 3 mai 2022 sur https://techxplore.com/news/2022-05-apple-privacy.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation loyale à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.