FaceApp nie zawiera złośliwego oprogramowania ani backdoorów - informuje Ministerstwo Cyfryzacji

Polskie Ministerstwo Cyfryzacji wzięło pod lupę popularną ostatnio aplikację do przerabiania zdjęć FaceApp, by sprawdzić, czy umożliwia “kradzież” danych. Zespół ekspertów CERT Polska, działający w Państwowym Instytucie Badawczym NASK stwierdził, że badana wersja nie zawiera złośliwego oprogramowania.

Zdaniem ekspertów, jeżeli użytkownik zdecyduje się na opcjonalną integrację z Facebookiem, aplikacja uzyska dostęp do galerii z jego profilu, ale również pozna jego imię, nazwisko, adres e-mail oraz zdjęcie profilowe. Aplikacja ma też możliwość odczytania listy znajomych, ale tylko tych, którzy również używają FaceAppa.

• Polscy eksperci przeanalizowali aplikację w wersji 3.4.9.1.

• Uruchomili ją w specjalnie przygotowanym do tego środowisku

• Podczas użytkowania monitorowali jej zachowanie i nagrywali generowany ruch sieciowy

Posługiwali się w tym czasie specjalistycznymi technikami statycznej analizy kodu aplikacji, aby upewnić się, że ich obserwacje są prawdziwe.

Aplikacja FaceApp – czy jest bezpieczna?

W swojej analizie specjaliści CERT Polska opisują m.in. serwery i usługi, do których kierowany jest wychodzący z aplikacji ruch sieciowy.

“Z przeprowadzonej analizy CERT Polska wynika, że żadne z wymienionych wyżej uprawnień nie daje aplikacji większego dostępu, niż byłby faktycznie wymagany. Aplikacja nie posiada możliwości technicznych i uprawnień do zbierania nadmiarowych danych, w tym historii połączeń, lokalizacji, historii przeglądarki” – czytamy w raporcie.

“Analiza potwierdziła, że aplikacja nie przesyła samowolnie lokalnych plików lub zdjęć z galerii. Do chmury trafiają wyłącznie zdjęcia, które zostały ręcznie wskazane przez użytkownika aplikacji” – orzekli eksperci.

Z ich analizy wynika, że aplikacja ma dostęp nie tylko do samej treści wrzuconego obrazka, ale również do metadanych EXIF, które w niektórych przypadkach mogą zawierać m.in. pozycję GPS z miejsca zrobienia fotografii. “To, czy tego typu dane są zapisywane w pliku zdjęcia, zależy od wybranych przez użytkownika ustawień prywatności, które obowiązują globalnie dla całego urządzenia” – napisali w komunikacie.

Wolumen ruchu sieciowego generowanego przez aplikację podczas obróbki zdjęcia – rozmiar przesyłanych danych, wskazuje na to, że przesyłana jest tylko wybrana fotografia.

Zdaniem ekspertów, jeżeli użytkownik zdecyduje się na opcjonalną integrację z Facebookiem, aplikacja uzyska dostęp do galerii z jego profilu, ale również pozna jego imię, nazwisko, adres e-mail oraz zdjęcie profilowe. Aplikacja ma też możliwość odczytania listy znajomych, ale tylko tych, którzy również używają FaceAppa.

FaceApp bez backdoorów

“W wyniku przeprowadzonej przez Zespół CERT Polska w NASK PIB analizy stwierdzono z wysokim prawdopodobieństwem, że badana wersja aplikacji (3.4.9.1) nie zawiera złośliwego oprogramowania ani backdoorów. Kolejne wydania aplikacji mogą wprowadzić nowe funkcje, w związku z czym należy w każdym przypadku użytkowania zachować ostrożność, zwłaszcza w sytuacji, gdy aktualizacji użytkownik proszony jest o udzielenie dodatkowych uprawnień” – czytamy w komunikacie.

Resort cyfryzacji przekazał, że Departament Zarządzania Danymi Ministerstwa Cyfryzacji sprawdził również aplikację pod kątem ochrony prywatności użytkowników.

“Efektem tej analizy jest pismo ministra cyfryzacji do Prezesa Urzędu Ochrony Danych Osobowych. W swoim wystąpieniu szef MC zwraca uwagę na m.in. konieczność zapewnienia przez tego typu aplikacje ich zgodności z przepisami RODO, które wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem” – czytamy.

Źródło: www.businessinsider.com.pl