facebook
Aktuality -> Komunikace a sítě - 24. 7. 2019 9:51

Mnoho povyku kolem mobilní aplikace FaceApp

FaceAppNa aplikaci FaceApp, která v poslední době vyvolala mnoho ohlasů týkajících se možného úniku osobních dat, se má dle amerického senátora Chucka Schumera podívat FBI. Proč? Aplikace, která odesílá data ke zpracování na nějaký server (jako mnoho jiných aplikací) a jejíž vývojáři pochází z Ruska, má totiž nestandardní podmínky pro používání. Není ale zdaleka jediná.



Legitimní aplikace FaceApp nabízí různé druhy filtrů obličeje – například dokáže přidat úsměv nebo zobrazit uživatele ve stáří. Dostupná je varianta pro iOS i Android. Samotná aplikace je zdarma, placené jsou pouze některé funkce. Filtry se staly rychle virálním hitem na sociálních sítích. Ruku v ruce s popularitou šel také zájem médií, především kvůli obavám o ochranu soukromí uživatelů.

Aplikace totiž ke zpracování a aplikací filtrů na fotografie využívá cloudové prostředí.

Algoritmus, který aplikace FaceApp využívá, vytvořila ruská společnost Wireless Lab, jejíž zakladatel Jaroslav Gončarov v minulosti pracoval pro Microsoft, kde se věnoval problematice neuronových sítí, poté založil společnost SPB Software a tuto prodal Ruské nadnárodní společnosti Yandex specializující se na produkty a služby související s internetem; v roce 2013 pak

Je riziko úniku a zneužití dat vyšší u FaceApp než u Facebooku?

Jedno z primárních pochybení kolem aplikace FaceApp vidím na straně AppStoru a GooglePlay. S takovými podmínkami by se zde dané aplikace neměly vůbec objevit. Ale upřímně – přečetl si někdo podmínky použití třeba na Facebooku? Pro zajímavost v nich najdete dokonce i následující formulaci: „Udělujete nám oprávnění používat vaše jméno a profilový obrázek a informace o vašich akcích na Facebooku v souvislosti s reklamami, nabídkami a dalším sponzorovaným obsahem, který zobrazujeme napříč našimi produkty, bez vašeho odškodnění.“

V případě Facebooku jsou tedy obavy z umístění fotografie pro reklamní účely mnohem vážnější, protože k němu uživatelé předem dali souhlas. FaceApp nic takového v podmínkách užití nemá. V rámci nich naleznete informaci, že se fotky budou po 48 hodinách mazat, čemuž jako uživatel mohu uvěřit, ale i nemusím – stejně jako ostatní cloudové služby, které budou tvrdit, že určitá informace je po dané době smazána.

Vlastním průzkumem jsem zjistil, že fotografie z FaceApp se ukládají na cloudový server, který je umístěný na území USA. Navzdory panice ze zneužití osobních dat se při uvážlivém zamyšlení nad důvodem odesílání dat z mobilní aplikace do cloudu nabízejí hned dva legitimní důvody:

  1. Výpočetní výkon – aplikace bude náročná na vlastní výpočetní výkon; některá zařízení mají dostatečný výkon, ale omezit aplikaci jen na některá „vyvolená“ nebude z obchodního hlediska nejspíš to správné – vlastní výpočet tedy probíhá na dostatečně silném serveru a mobilní zařízení provede pouze výpočet pro zobrazení;
  2. Ochrana know-how – servery, na kterých vlastní výpočet probíhá, jsou logicky lépe chráněny než mobilní zařízení. Vývojáři si budou chránit vlastní algoritmus pro zpracování tak, aby se nedostal ke konkurenci.

FaceApp

Spekuluje se i o tom, že by FaceApp mohla získaná data využívat pro trénink algoritmů k rozpoznávání obličejů. Myslím, že na to můžeme zcela zapomenout. Dat pro trénink algoritmů na rozpoznání obličejů je totiž díky masivnímu rozšíření kamerových systému dostatek a z těchto dat se dají vybrat i takové situace, kdy obličej není přímo natočen k vlastní kameře (jak je logické při použití FaceApp).

Obávat bychom se však měli toho, že díky popularitě aplikace je zde velká pravděpodobnost, že nějaká hackerská skupina nabourá vlastní aplikaci, vloží do ní svůj kód a v rámci storů (AppStore, GooglePlay) při aktualizaci rozšíří své nekalé praktiky mezi velkou skupinu uživatelů, od nichž bude neoprávněně čerpat určité informace.

Nebezpečí zejména při instalaci z neoficiálních zdrojů

Odborníci z Kaspersky Lab identifikovali falešnou aplikaci, která se na první pohled tváří jako FaceApp, ale ve skutečnosti je vyvinuta s jediným cílem – infikovat zařízení uživatelů adwarovým modulem označovaným jako MobiDash. Po stažení této aplikace z neoficiálních zdrojů a jejím nainstalování se zobrazí falešné hlášení o chybě. Aplikace se následně na oko odstraní. Škodlivý modul obsažený v aplikaci nicméně na zařízení zůstává schovaný a zobrazuje reklamy.

Obecně se již nakažené aplikace na GooglePlay i AppStore v minulosti objevily (GooglePlay jich měl řádově více) – dá se tedy úspěšně předpokládat, že i když tyto store nastavily nějaké mechanismy na odhalení takovýchto aplikací, k dalším podivným aplikacím určitě dojde.

V současnosti je k dispozici aktualizace FaceApp Pro, která je na store necelý týden, a už je rovněž napadená. Proto doporučujeme aktualizace nestahovat!

Reálná hrozba nebo obchodní válka?

Současný humbuk kolem aplikace FaceApp bych pak přirovnal ke kauze Huawei. Dle mého názoru vznikly obě nepodloženě (nebezpečí existuje u všech technologií a aplikací). V případě Huawei šlo dle mého názoru o obchodní válku a snahu zdiskreditovat výrobce 5G technologií tak, aby jeho konkurence získala určitou výhodu. U FaceApp pak vidím jasnou snahu získat algoritmus rozpoznání tváře a výpočtu možných změn v téměř reálném čase.

Komentář připravil Zbyněk Malý, poradce pro kybernetickou bezpečnost ve společnosti Anect. Vsuvky doplnila redakce časopisu IT Systems.


 
Časopis IT Systems / Odborná příloha Kalendář akcí
IT Systems - předplatné
RSS kanál