Można chyba zaryzykować, że obecnie swoją druga młodość przeżywa aplikacja FaceApp, która pozwala na wygenerowanie na zmianę wyglądu twarzy ze zdjęcia – naszego lub czyjegoś. Przy tej okazji pojawiły się pewne wątpliwości co do tego, czy oby jest to bezpieczna aplikacja, bo… W każdym razie przygotowany przez CERT Polska raport na temat tej aplikacji powinien ostudzić niejedną głowę.

FaceApp – analiza aplikacji oraz rekomendacje dotyczące zachowania prywatności

Jak już wspomniałem, aplikacja nie jest nowa, to jednak w ostatnich dniach znacznie wzrosła jej popularność/rozpoznawalność. I to nie tylko dlatego, że raptem wszyscy zapragnęli zobaczyć, jak będą oni czy najbliżsi wyglądali na starość, z brodą, innymi włosami, czy wreszcie choćby uśmiechem.

Pojawiły się pewne wątpliwości co do bezpieczeństwa korzystania z aplikacji, która nie tylko ma dostęp do zdjęć (co logiczne), została stworzona przez Rosjanina (bywa i tak ;-)), ale tez rzekomo miała wysyłać “do internetu” wszystkie nasze zdjęcia. Jak zaalarmował na Twitterze np. Joshua Nozzi (wycofał się już z tego):

Joshua Nozzi:
BE CAREFUL WITH FACEAPP – the face aging fad app. It immediately uploads your photos without asking, whether you chose one or not.

Joshua Nozz:
Is this FaceApp? As soon as I granted access to my photos it started listing them slowly a row at a time, almost like network delays. I quickly hit Airplane Mode and it instantly listed them all, refusing to let me select any because I’m offline. IT’S UPLOADING ALL YOUR PHOTOS.

Było oczywiste, że przy takim rozgłosie sprawą zajmą się nie tylko technopudelki walczące o odsłony wszelkimi metodami, od clickbaitów zaczynając, ale i poważne portale (jak my ;-)), czy też instytucje, jak np. wspomniany już CERT Polska, który właśnie opublikował swój raport na temat aplikacji FaceApp.

Zanim zacytują kilka moim zdaniem najważniejszych elementów z tego raportu, to dla mniej cierpliwych użytkowników aplikacji FaceApp mam dobrą wiadomość: nie znaleziono w samej aplikacji, jak i jej działaniu niczego co by mogło sugerować, że aplikacja faktycznie robi coś złego. I choć to, że nie znaleziono, nie oznacza, że na pewno nie robi czy też w przyszłości nie będzie robiła, to na pewno wiele osób w tym momencie odetchnie z ulgą…

A teraz kilka cytatów z zapowiedzianego już raportu:

Do badań wykorzystaliśmy aplikację w wersji 3.4.9.1, którą pozyskaliśmy ze sklepu Google Play. Następnie uruchomiliśmy ją w specjalnie przygotowanym do tego środowisku. Podczas użytkowania monitorowaliśmy jej zachowanie oraz nagrywaliśmy generowany ruch sieciowy. Równolegle posługiwaliśmy się specjalistycznymi technikami statycznej analizy kodu aplikacji, aby upewnić się, że nasze obserwacje są prawdziwe.

(…)

Po wykonaniu opisanych wyżej czynności zaobserwowaliśmy wychodzący ruch sieciowy do następujących serwerów i usług (w nawiasach konkretne nazwy hostów):

• serwery producenta aplikacji (api-search.faceapp.io, hosts.faceapp.io, tyrion.faceapp.io)
• usługa integracji z portalem Facebook (graph.facebook.com, graph.accountkit.com)
• usługa przesyłania informacji diagnostycznych, np. czy udało się zainstalować aplikację, czy telefon wspiera płatności Google Play itp (app-measurement.com)
• pobieranie ustawień reklam w aplikacji (firebaseremoteconfig.googleapis.com)
• serwery reklamowe Google (googleads.g.doubleclick.net, tpc.googlesyndication.com)
• usługa pobierania czcionek Google (fonts.googleapis.com)
• usługa analizowania błędów aplikacji (settings.crashlytics.com)
• usługa wyszukiwania Bing do wyszukiwania obrazów w zakładce “Celebs” (tseN.mm.bing.net)

Wymienione wyżej serwery producenta aplikacji znajdują się w amerykańskim oddziale chmury Amazon EC2. Pozostałe połączenia prowadzą bezpośrednio do serwerów Google, Microsoft i Facebooka.

Co więcej, przyjrzeliśmy się dokładnie każdemu z wymienionych wyżej strumieni danych, ale żaden z nich nie wygenerował nieuzasadnionego ruchu sieciowego, ani nie był wykorzystywany niezgodnie z przeznaczeniem. Ponadto analiza potwierdziła, że aplikacja nie przesyła samowolnie lokalnych plików lub zdjęć z galerii. Do chmury trafiają wyłącznie zdjęcia, które zostały ręcznie wskazane przez użytkownika aplikacji.

Warto zauważyć, że aplikacja ma dostęp nie tylko do samej treści wrzuconego obrazka, ale również do metadanych EXIF, które w niektórych przypadkach mogą zawierać m.in. pozycję GPS z miejsca zrobienia fotografii.

(…)

Jeżeli zdecydujemy się na opcjonalną integrację z Facebookiem, aplikacja uzyska dostęp do galerii z naszego profilu, ale również pozna nasze imię, nazwisko, adres e-mail oraz zdjęcie profilowe. Dodatkowo aplikacja ma możliwość odczytania listy naszych znajomych, ale tylko tych, którzy również używają FaceAppa.

W wyniku przeprowadzonej analizy stwierdziliśmy, że analizowana przez nas wersja aplikacji (3.4.9.1) z wysokim prawdopodobieństwem nie zawiera złośliwego oprogramowania ani backdoorów. Kolejne wydania aplikacji mogą wprowadzić nowe funkcje, w związku z czym należy zawsze zachować ostrożność, jeżeli podczas aktualizacji jesteśmy proszeni o udzielenie dodatkowych uprawnień. Obecne uprawnienia aplikacji FaceApp przeanalizowaliśmy w dalszej części artykułu.

(…)

Czy decyzja o przetwarzaniu zdjęć w chmurze jest uzasadniona?
Naszym zdaniem, tak – zarówno pod względem biznesowym, jak i użytkowym. W przypadku firmy FaceApp, tajemnicę przedsiębiorstwa stanowi model matematyczny służący do modyfikacji zdjęć. Dodatkowo przy obecnym stanie technologii, tego typu wysokiej jakości modele wymagają inwestycji dużej ilości zasobów (finansowych, sprzętowych, ludzkich). W związku z tym, wybór chmury, z technicznego i biznesowego punktu widzenia, wydaje się rozwiązaniem optymalnym.

Jak wygląda kwestia retencji danych?
Producent aplikacji deklaruje, że większość zdjęć, które trafiają do jego chmury nie jest przechowywanych dłużej niż 48 godzin. Prawdziwości tej deklaracji nie możemy ani potwierdzić, ani zaprzeczyć, ponieważ zespół CERT Polska nie ma uprawnień, które umożliwiałyby kontrolowanie prywatnej infrastruktury chmurowej. Pamiętajmy jednak, że każdego producenta aplikacji obowiązują standardowe przepisy o ochronie danych osobowych, a obecnie nie ma żadnego dowodu jakoby dane były w nieuprawniony sposób sprzedawane lub przekazywane stronom trzecim.

(…)

Podczas analizy aplikacji FaceApp nie znaleźliśmy żadnych jednoznacznych wskazań na to, że szpieguje ona swoich użytkowników. Nie zaobserwowaliśmy również, aby generowała nieuzasadniony ruch sieciowy lub wykorzystywała udzielone zgody, aby pozyskiwać nadmiarowe dane z naszego telefonu.

Tak więc, jeśli korzystacie lub korzystaliście z aplikacji FaceApp, Wasze dane, Wasza prywatność nie powinna być bardziej zagrożona niż podczas korzystania z innych aplikacji mających dostęp do Waszych danych i internetu. A być może wręcz Wasze dane są bezpieczniejsze, bo dzięki całej “aferce” aplikacja została dość dokładnie sprawdzona/przeanalizowana… A jeśli ktoś faktycznie się nadal obawia, to wystarczy z aplikacji nie korzystać.

Tylko tu pojawia się mała wątpliwość, czy w takim razie zaniepokojone osoby skasują również swoje konto np. na Facebooku, które w większości przypadków jest pełne danych prywatnych, a mechanizmy Facebooka pracują bez przerwy nad ich przetwarzaniem i… robią to coraz lepiej.