FaceApp подозревают в использовании данных пользователей. Сенатор США считает его угрозой нацбезопасности
Разработанное в 2017 году российскими программистами приложение FaceApp, использующее технологии искусственного интеллекта для того, чтобы менять людям пол, прическу и возраст на фотографиях, оказалось в центре разгорающегося скандала, связанного с безопасностью личных данных. Пользователи, звезды и даже один сенатор США считают, что приложение может использовать загруженные фотографии в своих целях.
Как сообщал ранее Inc., новый скачок популярности FaceApp в App Store и в Google Play произошел к 15 июля, когда сервис вырвался на первые строчки топов в России, США и 76 других странах. Возглавить рейтинги магазинов приложению помогла массовая популярность фотофильтра, «состаривающего» лица среди знаменитостей.
Однако, некоторые пользователи озаботились не только своей внешностью, но и скрытыми возможностями приложения. Пользователь Twitter Элизабет Вайнштейн, юрист и владелица фирмы юридических услуг в сфере малого бизнеса, обратила внимание, что пользовательское соглашение приложения дает ему право использовать фотографии, данные о местоположении и никнейм человека в своих целях, в том числе коммерческих.
If you use #FaceApp you are giving them a license to use your photos, your name, your username, and your likeness for any purpose including commercial purposes (like on a billboard or internet ad) -- see their Terms: https://t.co/e0sTgzowoN pic.twitter.com/XzYxRdXZ9q
— Elizabeth Potts Weinstein (@ElizabethPW) July 17, 2019
На ту же самую особенность соглашения обратил внимание и Скотт Бадмен, репортер телеканала NBC. Он заявил в своем Twitter: «Осторожно: каждые несколько лет FaceApp снова становится популярным. Оно веселое. Оно привлекает кучу людей. А ещё, оно берёт фотографии вашего лица и ваши личные данные и никому не говорит, что оно с ними делает».
#Warning: Every few years, the #FaceApp comes around.
It's fun.
It draws a lot of people in.
But, it also captures your face along with some of your private data.
It doesn't tell us what it does with that data.
Be careful.
— scott budman (@scottbudman) July 17, 2019
Часть комментаторов также обратила внимание, что FaceApp использует фотографии с устройства даже в тех случаях, когда владелец запретил приложению доступ к фотоальбомам. Некоторые предположили, что приложение загружает все фотографии с телефона куда-то на «облачные» сервера для последующего использования в своих целях.
Re: FaceApp, can’t speak to it “uploading” photos but the app is definitely able to access my library even though I have Photos permission set to “never” ? pic.twitter.com/jDMkqu5nML
— Karissa Bell (@karissabe) July 16, 2019
Впоследствии, однако, это предположение опровергли эксперты. Вильям Страфач, создатель единственной в мире программы файрволла для iOS, рассказал, что попытался подтвердить слухи о том, что приложение получает доступ к фотоальбомам и загружает фотографии на сервера без разрешения пользователя, но не смог этого сделать.
using a network traffic analyzer, I tried to replicate the thing people are talking about with FaceApp allegedly uploading your full camera roll to remote servers, but I did not see the reported activity occur.
here is marlo stanfiekd with a beard though pic.twitter.com/6wy8cHLNuA
— Will Strafach (@chronic) July 17, 2019
Однако, это было не единственное опасение, связанное с программой. Некоторые пользователи более всего опасались, что их фотографии станут доступны для ФСБ, поскольку Wireless Lab, компания, создавшая приложение, родом из России и имеет офис в Санкт-Петербурге.
На фоне этих опасений информационное агентство ТАСС сообщило, что лидер демократического меньшинства в Сенате Конгресса США Чак Шумер обратился к ФБР и Федеральной торговой комиссии (ФТК) с просьбой разобраться с последствиями использования американскими пользователями FaceApp, разработанного российской фирмой.
В своем письме сенатор опасается, что FaceApp предоставляет полученную информацию правительству и спецслужбам России. «Нахождение FaceApp в России заставляет нас спрашивать самих себя, не предоставляет ли компания информацию о гражданах США третьим лицам, включая, возможно, иностранные правительства. <….> У нас могут появиться большие проблемы, если вдруг выяснится, что частная информация наших граждан предоставляется враждебной иностранной державе, в настоящий момент проявляющей кибервраждебность к США», — пишет он. Фотографию письма сенатор опубликовал в своем Twitter.
BIG: Share if you used #FaceApp:
The @FBI & @FTC must look into the national security & privacy risks now
Because millions of Americans have used it
It’s owned by a Russia-based company
And users are required to provide full, irrevocable access to their personal photos & data pic.twitter.com/cejLLwBQcr
— Chuck Schumer (@SenSchumer) July 18, 2019
Некоторые эксперты попытались развеять страхи пользователей, но тщетно. Так, специалист по информационной безопасности Джейн Вонг изучила код приложения и отметила, что не видит в нём ничего подозрительного. Она также отметила, что FaceApp, скорее всего, обрабатывает фото на сервере, просто чтобы конкурентам было труднее получить доступ к коду приложения.
I am not seeing much fishy in FaceApp
Photos are uploaded to FaceApp's servers on AWS w/ authorization. Not much info is being sent to FaceApp's servers other than user metrics (e.g. ui interactions)
I just wish there's an option for users to delete their photos from the server
— Jane Manchun Wong (@wongmjane) July 17, 2019
В итоге, компании пришлось давать официальное опровержение слухов и объяснение терминов, использующихся в соглашении. Письмо компании опубликовало издание TechCrunch. Согласно заявлениям в письме, приложение загружает в «облако» только ту фотографию, которую обрабатывает по просьбе пользователя, но ни какие иные. Впоследствии, в течение 48 часов она хранит фотографию на сервере «для улучшения производительности и чтобы пользователю не приходилось заливать её заново». Кроме того, представитель компании заверил, что любой пользователь может в любое время подать жалобу с требованием немедленно удалить все свои фотографии с сервера.
В письме также говорится, что, хотя основная команда приложения находится в России, но сами данные туда не попадают, а хранятся на серверах Amazon и Google. Кроме того, в компании заверили, что не продают данные пользователей третьим лицам, да и продавать нечего — по уверениям представителей FaceApp, поскольку приложение предоставляет свои возможности без необходимости логиниться, 99% пользователей не осуществляют вход в приложение и не передают компании свои персональные данные.
Впрочем, заявление компании не развеяло все сомнения по поводу того, как они используют более 150 млн фотографий, по данным Forbes загруженных на их сервера. В числе наиболее сомневающихся в честности компании оказались эксперты по безопасности в сети. К примеру, ситуацию специально для Inc. прокомментировал Евгений Медведев, специалист компании TCC, работающей в сфере информационной безопасности.
«У современной информационной безопасности, связанной с мобильными приложениями есть несколько проблем, которые вызывают наибольшие опасения. В частности, это вопрос о том, что приложения используют свои „недекларированные“ возможности. Любое приложение, которое мы устанавливаем на смартфон, запрашивает у нас разрешения на доступ к нашим контактам, сообщениям, звонкам. Я на ночь перевожу телефон в режим „полета“, чтобы телефон не связывался ни с какой сетью, но все равно, когда я просыпаюсь, у меня есть сообщения из Instagram. Откуда?», — рассказал Евгений Медведев.
Впрочем, не всегда проблемы безопасности данных пользователей связаны со злым умыслом, считает эксперт. Зачастую, по его мнению, персональные данные попадают не в те руки просто из-за неспособности самих разработчиков обеспечить их защиту от взлома или хищения. «С точки зрения информационной безопасности — это такой современный „Фронтир“, в котором самим разработчикам далеко не всё понятно», — заявил он.
Эксперт затруднился точно определить, сколько денег можно было бы получить от продажи данных пользователей, однако считает, что итоговая сумма будет впечатляющей. «Цифровой профиль человека — его персональные данные, данные о сайтах, которые он посещает, номера кредиток и прочее — в «даркнете» стоит около $25. Информацию, которую собирает FaceApp можно, к примеру, продать косметическим компаниям, которым нужны данные о возрастных изменениях. Объем обрабатываемых данных растет, и стоимость таких массивов данных, которые собирают компании, подобные FaceApp постоянно увеличивается», — рассказал специалист.
Евгений Медведев также признался, что пока не имел возможности ознакомиться с заявлением компании по поводу слухов, но дал совет всем, кто беспокоится за безопасность своих данных в сети: «Если вы пользуетесь мобильными приложениями, то будьте готовы к тому, что они соберут куда больше информации, нежели заявлено в пользовательском соглашении. Это же относится к смартфонам, браузерам, почтовым агентам и другим десктоп-приложениям, «умным колонкам», «умным холодильникам» и «умным часам». Все указанные программы и устройства собирают и аккумулируют информацию о вас. Вопрос в том, кто и как использует эти данные».
Это не первые проблемы с информационной безопасность, возникающие из-за мобильных приложений. К примеру, в феврале 2019 года Apple пригрозила удалить из магазина приложение, скрыто записывающее экраны владельцев устройств на iOS. А в апреле Apple пришлось удалить из продажи приложение для родительского контроля из-за угрозы безопасности и конфиденциальности пользователей. Выяснилось, что злоумышленники могут взломать его и получить данные о родителях и их детях.
Apple в данном случае не исключение. Ничем не лучше ситуация и в Google. Согласно докладу Google Data Collection университета Вандербильта, смартфон Android в спящем режиме с активированным браузером Google Chrome передает информацию о своем местоположении 340 раз в сутки. Причем большую часть данных компания собирает в то время, когда пользователь не взаимодействует напрямую с каким-либо из продуктов Google.
Подписывайтесь на наш канал в Telegram: @incnews
