Cert Polska - FaceApp nie szpieguje, inni tak

W tym celu eksperci zainstalowali wersję 3.4.9.1 programu i w izolowanym środowisku testowym sprawdzili, jak się zachowuje. Sam program po wybraniu zdjęcia umożliwia jego przerobienie. Wątpliwości wzbudziła praktyka firmy, że fotografia użytkownika jest natychmiast przesyłana dalej. Bez jednak wyrażenia zgody na to na samym początku korzystania z programu jest niemożliwe użycie aplikacji. FaceApp wzbudził zainteresowanie, bo pozwala na odmłodzenie lub postarzenie osoby.

Wedle ustaleń polskich specjalistów z CERT program łączy się z serwerami producenta aplikacji faceapp.io. Posiada również łączność z systemem Graph używanym do między innymi integracji z serwisem Facebook. Informacje diagnostyczne są wysyłane na stronę app-measurement.com. Obejmują one takie dane, jak czy instalacja aplikacji się powiodła, czy telefon wspiera płatności Google Play i tym podobne.

Błędy w programie są analizowane za pomocą witryny Clashanalytics. Obok tego łączy się z serwerem Bing. Na nim opiera się wyszukiwanie obrazków z zakładki Celeb.

Nie brak tutaj również połączeń z siecią Google. Stąd są popierane czcionki używane w aplikacji. Tu również są serwery reklamowe przechowujące informacje o tym jakie ustawienia wybrał użytkownik. Obsługuje je amerykańska chmura Amazon EC2. Obok tego łączność jest nawiązywana z serwerami Microsoft, Facebook i oczywiście Google.

FaceApp nie pobiera w ukryciu zdjęć użytkownika. Przesyła tylko fotografie wybrane przez użytkownika. Nie mniej zawarte w nich dane, tak zwane EXIF, pozwalają odczytywanie między innymi współrzędnych geograficznych. Wystarczy, że program robiący zdjęcia nie ma ustawionych odpowiednich ustawień prywatności.

Operacja „wyszukiwania selfie” odbywa się na telefonie komórkowym. Jeśli jednak użytkownik zintegruje ją z Facebook wtedy program dowie się jak się nazywa dana osoba. Pobierze również informacje o znajomych ale tylko osób korzystających z programu.

Dla funkcjonowania każda aplikacja na Androidzie wymaga zezwoleń. Polscy analitycy stwierdzili, że FaceApp nie ma możliwości odczytu numeru karty kredytowej, samodzielnego wykonywania zdjęć, poglądania co wysyłają i odbierają inne aplikacje. Program jest zdolny do określenia, czy w danej chwili jest połączenie z Internetem, ale bez informacji, co się w jego trakcie dzieje, czyli na przykład nie odczyta który program w tle transmituje dane. Tym samym obalili mit z Polska the Times, że „FaceApp będzie rejestrować i przesyłać na zewnętrzne serwery niemal wszystko to, co robimy – do kogo i kiedy dzwonimy, na jakie strony wchodzimy, za co płacimy, gdzie przebywam”.

Równocześnie łączenie się z chmurą danych jest wedle polskich ekspertów decyzją czysto biznesowa. Modele sztuczne inteligencji potrzebne do wykonywania operacji na zdjęciach wymagają sprzętu. Na to współczesne komórki mają zbyt słabe parametry. Nie dają możliwości wykonania wszystkich koniecznych obliczeń matematycznych w "kieszeni użytkownika". Zarazem analitycy z Polski wskazują, że praktyka opierania się na zewnętrznych serwerach łączy się między z korzystaniem z Microsoft Office 365, Google Docs, Google Drive, One Drive, Dropbox, poczty elektronicznej takiej jak Wirtualnej Polski i Onet, czy aplikacje do płatności mobilnych.

Autorzy analizy zauważyli w podsumowaniu: „Podczas analizy aplikacji FaceApp nie znaleźliśmy żadnych jednoznacznych wskazań na to, że szpieguje ona swoich użytkowników. Nie zaobserwowaliśmy również, aby generowała nieuzasadniony ruch sieciowy lub wykorzystywała udzielone zgody, aby pozyskiwać nadmiarowe dane z naszego telefonu”. Zwrócili również uwagę na pierwotne źródło skandalu: „Warto zapoznać się również ze sprostowaniem autora tweeta, który poruszył Internet. Przypisanie szpiegostwa, wyłącznie ze względu na narodowość autora aplikacji, należy uznać – jeśli nie za formę manipulacji – to przynajmniej za zbyt daleko idące wnioski”.

Wskazali zarazem, że korzystanie z aplikacji z Rosji nie oznacza od razu bycia szpiegowanym, czy nagabywanym przez rząd Putina: „Przykładem oprogramowania wytworzonego przez Rosjan są np. niezwykle popularne programy kompresujące 7zip i WinRAR. Ponadto zgodnie z badaniami przeprowadzonymi przez Netcraft około 22% publicznych stron internetowych na świecie korzysta z programu nginx (również rozwijanego w Rosji). Wspomniane programy mają dobrą reputację i stanowią istotny wkład w procesie cyfryzacji”.

W całej aferze z FaceApp jest faktem, że nasze dane są przetwarzane. Świadomość, że korzystanie z dzisiejszych aplikacji w dużej mierze oznacza przesyłanie i zostawianie informacji o nas rozsianych po świecie jest znikoma. Zwrócenie uwagi na ten fakt budzi oburzenie, chociaż nikt zarazem nie ma odwagi na odcięcie się od usieciowienia. Jedynym i skutecznym wyjściem jest tutaj zachowanie zdrowego rozsądku i odcinanie się od technologii. Wystarczy zastanowienie się jakie rodzaje programów i w jakich sytuacjach zastąpią papierową mapę, karykaturę, czy filtr w programie graficznym. Spojrzenie przez pryzmat jaki jest cel siedzenia z urządzeniem pozwala na ujrzenie problemu w kontekście pozbawionym skrótów ideologicznych haseł. Tak aby nowe technologie nie robiły z nas niewolników.

Jacek Skrzypacz