Aplikaci FaceApp neaktualizujte! Nová verze s názvem FaceApp Pro je již hacknutá

FaceApp hacked

Na aplikaci FaceApp, která v poslední době vyvolala mnoho ohlasů týkajících se možného úniku osobních dat, se má dle amerického senátora Chucka Schumera podívat FBI. Proč?

Aplikace, která odesílá data na nějaký server (mimochodem těchto aplikací je mnohem víc) a jejíž vývojáři pochází z Ruska má nestandardní podmínky pro používání – nicméně zde vidím pochybení na straně AppStoru a GooglePlay. S takovými podmínkami by se zde dané aplikace neměly vůbec objevit. Ale upřímně – přečetl si někdo podmínky použití třeba na Facebooku?

Pro zajímavost v nich najdete dokonce i následující formulaci: „Udělujete nám oprávnění používat vaše jméno a profilový obrázek a informace o vašich akcích na Facebooku v souvislosti s reklamami, nabídkami a dalším sponzorovaným obsahem, který zobrazujeme napříč našimi produkty, bez vašeho odškodnění.“

V tomto případě jsou obavy z umístění fotografie pro reklamní účely nejspíš na místě, FaceApp toto však v podmínkách užití nemá. V rámci nich naleznete informaci, že se fotky budou po 48 hodinách mazat, čemuž jako uživatel mohu uvěřit, ale i nemusím – stejně jako ostatní cloudové služby, které budou tvrdit, že určitá informace je po dané době smazána.

Vlastním průzkumem jsem zjistil, že fotografie z FaceApp se ukládají na cloudový server, ale umístění tohoto datového centra je na území USA. Při zamyšlení se nad důvodem odesílání dat do cloudu mne napadají hned dva:

1. Výpočetní výkon – aplikace bude náročná na vlastní výpočetní výkon; některá zařízení mají dostatečný výkon, ale omezit aplikaci jen na některá „vyvolená“ nebude z obchodního hlediska nejspíš to správné – tedy vlastní výpočet probíhá na dostatečně silném serveru a mobilní zařízení provede pouze výpočet pro zobrazení;

2. Ochrana know-how – servery, na kterých vlastní výpočet probíhá, jsou logicky lépe chráněny než mobilní zařízení. Vývojáři si budou chránit vlastní algoritmus pro zpracování tak, aby se nedostal ke konkurenci.

Spekuluje se i o tom, že by FaceApp mohla získaná data využívat pro trénink algoritmů k rozpoznávání obličejů. Myslím, že na to můžeme zcela zapomenout. Dat pro trénink algoritmů na rozpoznání obličejů je totiž díky masivnímu rozšíření kamerových systému dostatek a z těchto dat se dají vybrat i takové situace, kdy obličej není přímo natočen k vlastní kameře (jak je logické při použití FaceApp).

Obávat bychom se však měli toho, že díky popularitě aplikace je zde velká pravděpodobnost, že nějaká hackerská skupina nabourá vlastní aplikaci, vloží do ní svůj kód a v rámci storů (AppStore, GooglePlay) při aktualizaci rozšíří své nekalé praktiky mezi velkou skupinu uživatelů, od nichž bude neoprávněně čerpat určité informace.

V současnosti je k dispozici aktualizace FaceApp Pro, která je na store necelý týden, a už je rovněž napadená. Proto doporučujeme aktualizace nestahovat.

Obecně se pak nakažené aplikace na GooglePlay i AppStore v minulosti již objevily (GooglePlay jich měl řádově více) – dá se tedy úspěšně předpokládat, že i když tyto store nastavily nějaké mechanismy na odhalení takovýchto aplikací, k dalším podivným aplikacím určitě dojde. Řádově by mohlo jít o stovky (tedy necelé jedno promile ze všech aplikací).

Současný humbuk kolem aplikace FaceApp bych pak přirovnal ke kauze Huawei. Dle mého názoru vznikly obě nepodloženě (nebezpečí existuje u všech technologií a aplikací), v případě Huawei šlo dle mého názoru o obchodní válku a snahu zdiskreditovat výrobce 5G technologií tak, aby jeho konkurence získala určitou výhodu. U FaceApp pak vidím jasnou snahu získat algoritmus rozpoznání tváře a výpočtu možných změn v téměř reálném čase.

Zbyněk Malý, poradce pro kybernetickou bezpečnost ve společnosti Anect

Související články

Leave a Comment