Zgadnijcie, do jakich wniosków doszli polscy specjaliści z CERT po przebadaniu „FaceApp”

Na wielu padł blady strach. Oto „FaceApp”, aplikacja ze złowrogiego wschodniego kraju, po zainstalowaniu miała przejmować nasze zdjęcia i wysyłać je na rosyjskie serwery celem szpiegowania praworządnych Polaków, Amerykanów i kto wie, kogo jeszcze. Zła prasa „FaceApp” skłoniła nawet polskie Ministerstwo Cyfryzacji do zlecenia badań przez CERT Polska, by wykluczyć zagrożenia dla bezpieczeństwa danych użytkowników tej aplikacji. I wyszło na to, że nie jest wcale groźniejsza od innych popularnych programów na smartfony.

Często popadamy w skrajności. Z jednej strony szybko oburzamy się, gdy okazuje się, że jakaś firma niewłaściwie obchodzi się z naszymi prywatnymi danymi, by zaraz potem przypomnieć sobie, że sami przyznaliśmy jej zbyt duże uprawnienia. CERT Polska przyjrzało się aplikacji FaceApp, co do której pojawiły się podejrzenia dotyczące nieostrożnego szafowania informacjami o użytkownikach. Jakie są wyniki tej analizy?

FaceApp nie szpieguje użytkowników

CERT Polska dokładnie obserwowało zachowanie aplikacji oraz rejestrowało generowany przez nią ruch sieciowy. Zebrane dane były weryfikowane, żeby zminimalizować ryzyko pomyłki.

Jako że podstawową funkcją FaceApp jest postarzanie lub odmładzanie naszego wizerunku ze zdjęć, aplikacja musi mieć do nich dostęp. Żeby odpowiednio przeprocesować fotografię, apka łączy się z serwerami, które znajdują się w amerykańskim oddziale chmury Amazon EC2. Nie ma więc mowy o jakimś podejrzanym ruchu w kierunku szpiegowskich komputerów KGB, zlokalizowanych w zimnych piwnicach Kremla.

Pozostałe połączenia prowadzą bezpośrednio do serwerów Google, Microsoftu i Google. Po co? To konieczne, jeśli użytkownik wyraził chęć połączenia FaceApp z serwisem społecznościowym Marka Zuckerberga, mógł odczytać tekst pojawiający się na ekranie smartfona dzięki usłudze pobierania czcionek od Google lub miał szansę kliknąć w baner, pobierany z serwerów reklamowych giganta z Mountain View. Microsoft przydaje się do połączenia z Bingiem, wyszukującym obrazy, które pojawiają się w aplikacji.

Ruch sieciowy podczas wysyłania zdjęcia na serwery FaceApp. Żadnych „lewych” transmisji. (fot. CERT Polska)

Żaden z powyższych strumieni informacji nie był wygenerowany niezgodnie z przeznaczeniem i nadanymi uprawnieniami. Jak przekazali specjaliści z CERT,

„Analiza potwierdziła, że aplikacja nie przesyła samowolnie lokalnych plików lub zdjęć z galerii. Do chmury trafiają wyłącznie zdjęcia, które zostały ręcznie wskazane przez użytkownika. (…) Analizowana przez nas wersja aplikacji (3.4.9.1) z wysokim prawdopodobieństwem nie zawiera złośliwego oprogramowania ani backdoorów.

Po co wysyłać zdjęcia do chmury?

Niektórzy oburzali się z powodu przesyłania zdjęć użytkowników FaceApp do chmury, twierdząc, że takie same efekty można by uzyskać dzięki wykorzystaniu mocy obliczeniowych smartfona – offline. Nie jest to jednak prawdą. Matematyczny model do modyfikacji zdjęć jest złożony. Jak wyjaśniają specjaliści z CERT Polska,

„przy obecnym stanie technologii, tego typu wysokiej jakości modele wymagają inwestycji dużej ilości zasobów (finansowych, sprzętowych, ludzkich). W związku z tym, wybór chmury, z technicznego i biznesowego punktu widzenia, wydaje się rozwiązaniem optymalnym.”

Właściciel aplikacji uważa, że większość zdjęć, które trafiają na serwery, są z nich usuwane po 48 godzinach. Nie da się tego zweryfikować. Jednak obecnie nie ma żadnych dowodów na to, jakoby dane te były używane dłużej czy były przekazywane lub sprzedawane innym podmiotom.

FaceApp to aplikacja, jakich wiele

Przynajmniej pod względem bezpieczeństwa. I nie ma tu kompletnie żadnego znaczenia, jakiej narodowości jest jej twórca, ani miejsce, w jakim stoją serwery wykorzystywane do niezbędnych obliczeń. Przypisywanie szpiegostwa komukolwiek, tylko na podstawie jego pochodzenia, jest formą manipulacji.

CERT Polska podało kilka przykładów aplikacji, którym przyznajemy podobny poziom uprawnień, na przykład chmurom Google, Microsoftu czy serwisom typu Facebook i Instagram. Innym powierzamy hasła do naszych rachunków bankowych. I tak – ostrożnym należy być zawsze. Jednak nie można z góry zakładać, że jakaś popularna aplikacja nas śledzi, bo jest z Rosji. Zrozumiał to nawet autor tweeta, od którego zaczęła się nakręcać cała atmosfera nieufności wobec FaceApp.

FaceApp pod lupą Ministerstwa Cyfryzacji. To już panika, czy jeszcze ostrożność?

źródło: CERT Polska, joshua.nozzi.name