FaceApp – rosyjska aplikacja podbiła internet i wie o nas wszystko

Jeśli zastanawiasz się, dlaczego w ciągu ostatnich kilku dni media społecznościowe zostały dosłownie zalany zdjęciami pomarszczonych celebrytów i (nagle) starych przyjaciół, to możecie podziękować aplikacji FaceApp, która niczym wirus rozprzestrzeniła się w sieci. Ma ona wiele narzędzi do zmiany wyglądu (nic nowego), ale największą popularnością cieszy się prosty w użyciu filtr starzejący, który przekształca zdjęcia użytkowników prezentując, jak będą oni wyglądać za kilkanaście lat. I, w przeciwieństwie do innych tego typu aplikacji, nie nakłada na zdjęcia filtru, ale wykorzystuje mechanizmy sztucznej inteligencji, by to morfowanie w starszego, pomarszczonego człowieka było jak najbardziej wiarygodne.

Stara aplikacja – nowa moda

Choć sama aplikacja istnieje już od 2017 roku, to dopiero po internetowych wyzwaniach z hasztagami #FaceAppChallenge i #AgeChallenge (w których wzięło udział wielu artystów i celebrytów), jej popularność wzrosła lawinowo. I jest obecnie najwyżej ocenianą aplikacją w sklepie iOS w 121 krajach, a baza jej użytkowników powiększyła się o 12,7 miliona nowych użytkowników tylko w ostatnim tygodniu.

Według Forbesa FaceApp zgromadził już kolekcję 150 milionów nazw i twarzy – a to już zaczyna budzić poważne obawy prywatność i to, do czego aplikacja ma dostęp i może zrobić z naszymi danymi. Pojawiły się informacje, że aplikacja korzysta nie tylko zdjęć, które dla niej wybierzemy, ale ma dostęp do wszystkich zdjęć w pamięci smartfonu i przesyła je na swoje serwery. Rozsiano też wątpliwości co do prywatności danych użytkowników, które jakoby miały być wysyłane do rosyjskiego rządu (za aplikacją stoi Wireless Lab z Sankt Petersburga). Przyjrzyjmy się, czy obawy dotyczące FaceApp są uzasadnione.

Polityka prywatności

Według polityki prywatności (https://faceapp.com/privacy) i warunków korzystania z aplikacji (https://www.faceapp.com/terms), na które zgadzają się użytkownicy, FaceApp otrzymuje praktycznie wieczystą, nieodwołalną, niewyłączną, nieodpłatną, ogólnoświatową, zbywalną licencję na korzystanie z przesłanego materiału oraz imienia i nazwiska. Czy przed zainstalowaniem FaceApp i pozwoleniem aplikacji na dostęp do swoich zdjęć i konta na Facebooku sprawdziliście, na co się zgodziliście?

W praktyce przy pomocy aplikacji FaceApp deweloperzy z Wireless Lab mogą wykorzystywać wasze zdjęcia twarzy do wszystkiego, od monetaryzowania pozyskanych danych (czyli reklam) po szkolenie sztucznej inteligencji w zakresie rozpoznawania twarzy.  Tutaj Rosjanie mają już praktykę – stworzyli narzędzie, które na podstawie zdjęcia mogło zidentyfikować użytkowników sieci społecznościowej VKontakte). Teraz użytkownicy z całego świata dostarczają zdjęć do stworzenia gigantycznej bazy danych pozwalającej na połączenie konkretnych danych z użytkownikami mediów społecznościowych. Warto jednak zauważyć, że podobne zapisy figurują w politykach prywatności takich aplikacji jak TikTok czy Snapchat.

Jak usunąć swoje dane?

Gdy wydaje się, że nagle wszyscy używają FaceApp, jest to coś bezpiecznego – gdzieś tam zapewne uruchamiają się jakieś mechanizmy psychologii tłumu i zaczynamy robić to, co inni nie zwracają uwagi na możliwe konsekwencje. I na pewno nie wczytujemy się w umowy, zgody czy polityki prywatności, tylko klikamy OK, przyznajemy aplikacji dostęp do danych i przechodzimy dalej, aby jak najszybciej obejrzeć swoją postarzoną twarz i podzielić się tym widokiem ze znajomymi na Facebooku, Instagramie czy Twitterze.

Z badań firmy Kaspersky wynika, że 63% użytkowników nie czyta umów licencyjnych, a niemal połowa (43%) bez zastanowienia wyraża zgodę na wszystkie uprawnienia podczas instalowania nowych aplikacji. FaceApp domaga się dostępu do pamięci smartfonu i do aparatu, żąda też logowania się do Facebooka i pobiera stamtąd dane. Od razu dostaje pakiet informacji do zidentyfikowania każdego użytkownika z imienia i nazwiska oraz ma wgląd w jego aktywność w sieci. I sami na to pozwalamy kosztem udziały w viralowym szaleństwie.

I nawet jeśli nie podzieliliście się zmorfowanym zdjęciem w mediach społecznościowych, to jednak zostało ono przesłane do serwerów aplikacji. A usunięcie FaceApp nie spowoduje usunięcia tych danych. Aby wszystko zostało usunięte z serwerów FaceApp, użytkownik musi przesłać żądanie do zespołu wsparcia aplikacji. Wystarczy wykorzystać w tym celu narzędzie do zgłaszania błędów w aplikacji, w temacie umieszczając słowo prywatność lub privacy. Po jakim czasie to nastąpi i czy faktycznie wszystkie informacje o danym użytkowniku zostaną usunięte, tego nie wiemy.

Zarzuty i obrona

Amerykanie, którzy sprawy bezpieczeństwa narodowego traktują dość paranoicznie, poszli o krok dalej. Otóż jeden z senatorów wezwał służby FBI i FTC do wszczęcia śledztwa w sprawie aplikacji FaceApp – miałoby ono na celu stwierdzenie, czy dane biometryczne milionów amerykańskich obywateli nie zostały zebrane przez Rosjan.  Podobny krok podjęło polskie Ministerstwo Cyfryzacji, które, wraz z CSIRT NASK przeprowadzi analizy dotyczące bezpieczeństwa danych użytkowników, którzy korzystali z aplikacji FaceApp. Sytuację ratować próbuje CEO FaceApp Yaroslav Goncharov podając, że większość z wykorzystywanych zdjęć jest usuwanych z serwerów po 48 godzinach, że aplikacja korzysta tylko ze zdjęć wysłanych przez użytkowników i nie ma dostępu do reszty zdjeć z pamięci telefonu, przechowuje dane w usługach Amazon Web Services i Google Cloud oraz że nie udostępnia żadnych informacji Kremlowi.  A to oświadczenie FaceApp odnośnie stawianych zarzutów:

We are receiving a lot of inquiries regarding our privacy policy and therefore, would like to provide a few points that explain the basics:

1. FaceApp performs most of the photo processing in the cloud. We only upload a photo selected by a user for editing. We never transfer any other images from the phone to the cloud.
2. We might store an uploaded photo in the cloud. The main reason for that is performance and traffic: we want to make sure that the user doesn’t upload the photo repeatedly for every edit operation. Most images are deleted from our servers within 48 hours from the upload date.
3. We accept requests from users for removing all their data from our servers. Our support team is currently overloaded, but these requests have our priority. For the fastest processing, we recommend sending the requests from the FaceApp mobile app using “Settings->Support->Report a bug” with the word “privacy” in the subject line. We are working on the better UI for that.
4. All FaceApp features are available without logging in, and you can log in only from the settings screen. As a result, 99% of users don’t log in; therefore, we don’t have access to any data that could identify a person.
5. We don’t sell or share any user data with any third parties.
6. Even though the core R&D team is located in Russia, the user data is not transferred to Russia.
   Additionally, we’d like to comment on one of the most common concerns: all pictures from the gallery are uploaded to our servers after a user grants access to the photos (for example, https://twitter.com/joshuanozzi/status/1150961777548701696).  We don’t do that. We upload only a photo selected for editing. You can quickly check this with any of network sniffing tools available on the internet.

FaceApp wykorzystują też cyberprzestępcy

Duża popularność aplikacji nie mogła umknąć uwadze cyberprzestępców – na początku lipca pojawiło się fałszywe narzędzie podszywające się pod FaceApp, które w rzeczywistości infekuje urządzenia mobilne z Androidem trojanem MobiDash. Po pobraniu fałszywej aplikacji z nieoficjalnego źródła i zainstalowaniu jej na smartfonie użytkownik widzi komunikat o błędzie. Wyświetlane informacje sugerują, że pobrana aplikacja została odinstalowana. Komunikat ten jest sfałszowany – w rzeczywistości szkodliwy moduł pozostaje w systemie i wyświetla niechciane reklamy. Według danych badaczy z firmy Kaspersky, w ciągu dwóch ostatnich dni około 500 unikatowych użytkowników zainstalowało omawiany szkodliwy program, a pierwszą infekcję zarejestrowano 7 lipca 2019 r. Badacze wykryli około 800 różnych modyfikacji szkodliwego modułu.

aplikacja mobilnacyberprzestępczośćFaceAppprywatnośćRosjasztuczna inteligencjatrojanzdjęcia