Zrobiła się aferka, co nie? Jesteśmy od paru dni świadkami drugiej tury popularności aplikacji FaceApp, a szczególnie ich filtra postarzającego. W kontrze do beztroskiego udostępniania postarzonych zdjęć w mediach społecznościowych pojawiły się głosy (po części słuszne, ale tylko po części, o czym zaraz), aby się opamiętać i wziąć pod uwagę bezpieczeństwo danych i ochronę prywatności.
Pierwsza kwestia, o której należy wiedzieć, to że pobierając FaceApp (chociażby żeby zrobić sobie, modną ostatnio, postarzającą modyfikację wizerunku) możesz odmówić aplikacji dostępu do biblioteki zdjęć. Ja tak zrobiłem. Mimo to mogłem zrobić selfie, po prostu, dla zabawy. Zwracajcie uwagę na uprawnienia, które dajecie apkom przy instalacji.
Wiem, że i tak udostępniłem twórcom aplikacji pewne informacje z mojego telefonu połączone z danymi telemetrycznymi (ergo zdjęcie mojej twarzy), ale… Czy to najbardziej nieodpowiedzialne zachowanie (w kontekście innych, codziennych aktywności)? O tym za chwilę.
Rozumiem osoby bijące na alarm, że karmimy „rosyjską bazę danych”… Niemniej te same osoby bez mrugnięcia okiem udostępniają co popadnie Facebookowi i Google, bez oporów dają dostęp szeregowi aplikacji do zdjęć, listy kontaktów, wiadomości, mikrofonu i lokalizacji 😀 Aplikacje mogą pochodzić z Niemiec, Japonii, Szwecji, Izraela czy Singapuru. Nieistotne. Nieistotne? Jeszcze na marginesie – Tik Tok np. pochodzi z Chin (a oni to dopiero są nieźli w zakresie wykorzystywania twarzy i danych biometrycznych) 🙂
No właśnie. Clou sprawy wydaje się być „rosyjskość” aplikacji. Jednak warto zauważyć, że pomimo tego, że firma, która stworzyła FaceApp ma siedzibę w Sankt Petersburgu, ich serwery mieszczą się w USA. Gdyby to miały być zasoby kontrolowane przez GRU (Главное Разведывательное Управление ergo ruski wywiad), to myślę, że nie byłyby przechowywane w chmurze Amazona 🙂 Dodam jeszcze, że pomimo paru rzekomych niejasności w warunkach korzystania z usługi, wg oficjalnego stanowiska firmy, zdjęcia wgrane do aplikacji są usuwane po 48 godzinach.
Ale co jeśli ktoś zapisuje dane w postaci kształtu mojej twarzy, mojego imienia i nazwiska, miejsca, w którym przebywam… Oh, wait…
Naprawdę nie trzeba FaceApp’a do tego, aby zmatchować moją twarz z moim nazwiskiem, miejscem zamieszkania i zawodem. Zrobienie takiej bazy na podstawie zaczytania ogólnodostępnych danych z Google / Facebook / LinkedIn to nie problem. Ok, pozostają kwestie GDPR i innych regulacji w zakresie przetwarzania danych, ale czy myślicie, że CIA i GRU (i pewnie jeszcze Mossad, bo wiadomo, że za wszystkim stoją Żydzi i masoneria… i reptilianie) się tym przejmują? 😀
Czy wiesz, że ścieżki, którymi się poruszasz (wraz z przystankami, czasem, jaki tam spędzasz, innymi urządzeniami, które „spotykasz” w okolicy) są rejestrowane przez GPS, Wi-Fi, jednostki BTS (nawet, gdy jesteś offline, wystarczy, że SIM działa)? Czy jesteś pewny, że systemy sztucznej inteligencji i maszynowego przetwarzania informacji należące do dużych (największych) korporacji nie analizują na co dzień danych (dźwięków, a może i obrazów) z Twojej sypialni? Z biura? Z toalety? Myślisz, że te bazy danych są szczelne? To wszystko jest łączone z Twoją historią wyszukiwania w Google, odwiedzanymi stronami (hehehe, nie, tryb incognito nie daje prywatności, wierz mi), klikanymi reklamami, czytanymi mailami…
Eksperci od bezpieczeństwa w sieci stanowczo podkreślają, że problemem nie jest FaceApp, a generalnie zakres uprawnień, jakie dajemy firmom w zakresie dostępu do naszych danych.
„People give photos to lots of different apps. I think this is probably getting attention because it’s Russian developers,” says Christine Bannan, consumer protection counsel at the nonprofit Electronic Privacy Information Center. „But this is definitely not a unique FaceApp problem. FaceApp is part of a larger privacy problem.”
Take the most obvious example, and not only for its similar name. Facebook has nearly 2.5 billion monthly active users to FaceApp’s 80 million. It, too, applies facial recognition to photos that those users upload to its servers. It also actively pushed a VPN that allowed it to track the activity of anyone who installed it not just within the Facebook app but anywhere on their phone. When Apple finally banned that app, Facebook snuck it in again through the backdoor. And that’s before you get to the privacy violations that have led to a reported $5 billion fine from the FTC, a record by orders of magnitude.
źródło: https://www.wired.com/story/faceapp-privacy-backlash-facebook/ – polecam przeczytać całość.
I jeszcze (z tego samego artykułu):
People have expressed concern that FaceApp’s terms of service includes “a perpetual, irrevocable, nonexclusive, royalty-free, worldwide, fully-paid, transferable sub-licensable license to use, reproduce, modify, adapt, publish, translate, create derivative works from, distribute, publicly perform and display your User Content and any name, username or likeness provided in connection with your User Content in all media formats and channels now known or later developed, without compensation to you.” Rightly so. But see how closely it mirrors Facebook’s terms of service, which also says that “when you share, post, or upload content that is covered by intellectual property rights (like photos or videos) on or in connection with our Products, you grant us a non-exclusive, transferable, sub-licensable, royalty-free, and worldwide license to host, use, distribute, modify, run, copy, publicly perform or display, translate, and create derivative works of your content (consistent with your privacy and application settings).” (Which is as good a reminder as any to lock down your Facebook privacy settings.)
Polecam też artykuł w podobnym tonie na łamach Niebezpiecznik.pl (jeśli chcesz poszerzać wiedzę na temat bezpieczeństwa w sieci, to zaglądajcie na ten serwis + jeszcze sekurak.pl i zaufanatrzeciastrona.pl), który ładnie to podsumowuje:
TL;DR
Podsumowując: tak, aplikację stworzył Rosjanin. Tak, może ona stanowić zagrożenie dla prywatności, ale nie większe niż inne tego typu aplikacje z których i tak ochoczo korzystamy. Na razie nie zaobserwowano, aby aplikacja sięgała po więcej danych niż to konieczne do przetworzenia jednej, wybranej przez użytkownika fotki. Ale to technicznie możliwe. Wszystko tak naprawdę sprowadza się do tego, żeby mieć świadomość, że nawet jak aplikacji nie stworzył Rosjanin, to z naszymi danymi twórca może wiele (złego) zrobić. Dlatego mamy prośbę: jeśli boisz się Rosjan, o każdym twórcy aplikacji myśl jak o Rosjaninie, który jest bliskim współpracownikiem Putina.
Ogarnijcie/-my się 🙂