Legitimní aplikace FaceApp nabízí různé druhy filtrů obličeje – například dokáže přidat úsměv nebo zobrazit uživatele ve stáří. Dostupná je varianta pro iOS i Android. Samotná aplikace je zdarma, placené jsou pouze některé funkce. Filtry se staly rychle virálním hitem na sociálních sítích. Ruku v ruce s popularitou šel také zájem médií, především kvůli obavám o ochranu soukromí uživatelů.

Aplikace totiž ke zpracování a aplikací filtrů na fotografie využívá cloudové prostředí.

Je riziko úniku a zneužití dat vyšší u FaceApp než u Facebooku?

Jedno z primárních pochybení kolem aplikace FaceApp vidím na straně AppStoru a GooglePlay. S takovými podmínkami by se zde dané aplikace neměly vůbec objevit. Ale upřímně – přečetl si někdo podmínky použití třeba na Facebooku? Pro zajímavost v nich najdete dokonce i následující formulaci: „Udělujete nám oprávnění používat vaše jméno a profilový obrázek a informace o vašich akcích na Facebooku v souvislosti s reklamami, nabídkami a dalším sponzorovaným obsahem, který zobrazujeme napříč našimi produkty, bez vašeho odškodnění.“

V případě Facebooku jsou tedy obavy z umístění fotografie pro reklamní účely mnohem vážnější, protože k němu uživatelé předem dali souhlas. FaceApp nic takového v podmínkách užití nemá. V rámci nich naleznete informaci, že se fotky budou po 48 hodinách mazat, čemuž jako uživatel mohu uvěřit, ale i nemusím – stejně jako ostatní cloudové služby, které budou tvrdit, že určitá informace je po dané době smazána.

Vlastním průzkumem jsem zjistil, že fotografie z FaceApp se ukládají na cloudový server, který je umístěný na území USA. Navzdory panice ze zneužití osobních dat se při uvážlivém zamyšlení nad důvodem odesílání dat z mobilní aplikace do cloudu nabízejí hned dva legitimní důvody:

1. Výpočetní výkon – aplikace bude náročná na vlastní výpočetní výkon; některá zařízení mají dostatečný výkon, ale omezit aplikaci jen na některá „vyvolená“ nebude z obchodního hlediska nejspíš to správné – vlastní výpočet tedy probíhá na dostatečně silném serveru a mobilní zařízení provede pouze výpočet pro zobrazení;
2. Ochrana know-how – servery, na kterých vlastní výpočet probíhá, jsou logicky lépe chráněny než mobilní zařízení. Vývojáři si budou chránit vlastní algoritmus pro zpracování tak, aby se nedostal ke konkurenci.

Spekuluje se i o tom, že by FaceApp mohla získaná data využívat pro trénink algoritmů k rozpoznávání obličejů. Myslím, že na to můžeme zcela zapomenout. Dat pro trénink algoritmů na rozpoznání obličejů je totiž díky masivnímu rozšíření kamerových systému dostatek a z těchto dat se dají vybrat i takové situace, kdy obličej není přímo natočen k vlastní kameře (jak je logické při použití FaceApp).

Obávat bychom se však měli toho, že díky popularitě aplikace je zde velká pravděpodobnost, že nějaká hackerská skupina nabourá vlastní aplikaci, vloží do ní svůj kód a v rámci storů (AppStore, GooglePlay) při aktualizaci rozšíří své nekalé praktiky mezi velkou skupinu uživatelů, od nichž bude neoprávněně čerpat určité informace.

Obecně se již nakažené aplikace na GooglePlay i AppStore v minulosti objevily (GooglePlay jich měl řádově více) – dá se tedy úspěšně předpokládat, že i když tyto store nastavily nějaké mechanismy na odhalení takovýchto aplikací, k dalším podivným aplikacím určitě dojde.

V současnosti je k dispozici aktualizace FaceApp Pro, která je na store necelý týden, a už je rovněž napadená. Proto doporučujeme aktualizace nestahovat!

Reálná hrozba nebo obchodní válka?

Současný humbuk kolem aplikace FaceApp bych pak přirovnal ke kauze Huawei. Dle mého názoru vznikly obě nepodloženě (nebezpečí existuje u všech technologií a aplikací). V případě Huawei šlo dle mého názoru o obchodní válku a snahu zdiskreditovat výrobce 5G technologií tak, aby jeho konkurence získala určitou výhodu. U FaceApp pak vidím jasnou snahu získat algoritmus rozpoznání tváře a výpočtu možných změn v téměř reálném čase.

Komentář připravil Zbyněk Malý, poradce pro kybernetickou bezpečnost ve společnosti Anect. Vsuvky doplnila redakce časopisu IT Systems.