В начале июля по русскоязычному «Фейсбуку» прошла волна перепостов фейковой публикации, «позволяющей защитить персональные данные пользователя» («Я не даю Facebook или другим лицам, связанным с Facebook, разрешение использовать мои фотографии, информацию, сообщения или сообщения, как в прошлом, так и в будущем» и т. д. со ссылкой на некий «Римский статут»). Российским СМИ даже пришлось писать опровержения.

Этот репост не имеет никакой юридической силы, но что интересно: его опубликовали на своих страницах многие неглупые люди, в том числе ратующие за борьбу с фейк-ньюс и против госпропаганды.

Спустя пару недель те же самые люди (я сужу по своей ленте в Facebook) ринулись публиковать фото себя состарившихся, обработанные в приложении FaceApp. Я не стану комментировать непротиворечивость или последовательность действий указанных пользователей и сразу перейду непосредственно к вопросам, которые волнуют меня и в силу моей профессиональной деятельности (я работаю в компании, специализирующейся на информационной безопасности), и в силу литературных интересов (я писатель, как-никак).

Приложение сделало вашу проекцию на будущее, которая также может быть использована в работе, например, компаний, специализирующихся на видеонаблюдении

Итак, вопрос №1: почему появляются подобные приложения, в чем их цель?

Вопрос №2: насколько безопасны подобные приложения, могут ли они быть использованы против вас?

Приложение FaceApp кажется забавным. Проблема в том, что оно позволяет Facebook решать свои задачи. В эпоху «больших данных» значительно возрастает спрос на огромные массивы информации, которые используются для тренировки машинного обучения и нейросетей. Но терабайты неклассифицированной информации совершенно бесполезны: чтобы использовать данные в работе, необходимо проставить метки (классифицировать данные по заданному набору параметров).

Скачав FaceApp, вы автоматически дали приложению сведения о вашем возрасте, поле, марке вашего телефона, географическом положении и многие другие.

Приложение, продемонстрировав ваше фото, сделало вашу проекцию на будущее, которая также может быть использована в работе, например, компаний, специализирующихся на видеонаблюдении (или даже госорганов, которые также заинтересованы в слежке за гражданами).

Самый простой и невинный способ использования этих данных — продать их индустрии wellness&beauty, и тогда производители кремов и масок станут предлагать вам свою продукцию в ленте Facebook. Но, как я уже отметил, спрос на подобные данные имеется и у других, совсем не безопасных организаций.

FaceApp — это частный случай, и на проблему стоит посмотреть шире. Насколько безопасно скачивать и устанавливать приложения на свой смартфон?

Вопрос №2: насколько безопасно использовать FaceApp? Приложение, не запрашивая разрешения пользователя, загружает фото в стороннее облако. Насколько оно защищено, кем будет использоваться, сохраняются ли фото на будущее, или разработчики удаляют изображения? Любопытно, что у FaceApp есть возможность загружать фото, не запрашивая доступ ко всей галерее (тут пример, спасибо обозревателю из mashable). Ситуация спорная: мало ли, вдруг оно выкачивает не только ваш конкретный портрет, но и всю галерею разом (например, фото банковских карт тебя, жены, бабушки)? 

По словам создателя приложения Ярослава Гончарова, компания не использует данные пользователей без их согласия. Формально это правда, но стоит внимательно изучить, доступ к каким опциям вы даете приложению. Гончаров также уверяет, что пользователи могут удалить все свои данные через настройки, а большинство фото удаляются с серверов компании в течение 48 часов после загрузки. Хочется верить, что это правда, однако мы не раз становились свидетелями того, как владельцы IT-стартапов замалчивали факты слива информации на сторону. 

Отмечу, что в непорядочности Facebook и разработчиков приложений я уже не раз успел убедиться: я никогда не подключаю смартфон к вай-фай, использую исключительно мобильный интернет от телефонного оператора, на ночь интернет отключаю, а телефон ставлю в авиарежим. Несмотря на это, несколько раз ночью мне прилетали оповещения из Instagram о том, что мои друзья опубликовали новые посты.

FaceApp — это частный случай, и на проблему стоит посмотреть шире. Насколько безопасно скачивать и устанавливать приложения на свой смартфон?

Не секрет, что в Google Play и AppStore часто оказываются ненадежные приложения. Согласно данным компании Avast, более трети пользователей не могут отличить поддельное приложение от настоящего. Неудивительно, что это приводит к эксцессам: в январе 2019 года стало известно, что фейковые GPS-приложения в Google Play скачали более 50 млн раз. Хакеры часто атакуют пользователей с помощью фейковых банковских приложений, которые довольно качественно копируют легитимные банковские программы.

Смартфон с Android в спящем режиме с активированным браузером Google Chrome передает информацию о местоположении 340 раз в сутки

Всякий раз, когда мы скачиваем приложение на смартфон, мы автоматически даем ему доступ к списку наших контактов, галерее фото и видео, браузеру, зачастую — даже к камере и динамику. Скачав приложение-шпион или легитимное приложение с недекларируемыми возможностями, мы фактически приглашаем злоумышленников и корпорации в нашу личную жизнь, делимся с ними перепиской, историей поисковых запросов — и далее по списку.

И количество подобных инцидентов стремительно возрастает: в феврале 2019 года Apple пригрозила удалить из магазина приложение, скрыто записывающее экраны владельцев устройств на iOS. В апреле Apple пришлось ликвидировать приложение для родительского контроля из-за угрозы безопасности и конфиденциальности пользователей.

Apple не исключение. Согласно докладу Google Data Collection университета Вандербильта, посвященному сервисам компании Google (август 2018 года), смартфон с Android в спящем режиме с активированным браузером Google Chrome передает информацию о местоположении 340 раз в сутки. В целом смартфон с установленным Chrome отправляет данные в 50 раз чаще, чем iOS с Safari. Неактивное Android-устройство «общается» с Google почти в десять раз чаще, чем устройство Apple взаимодействует с серверами Apple. Большую часть данных Google собирает в то время, когда пользователь не взаимодействует напрямую с каким-либо из продуктов Google.

Facebook действует не менее агрессивно. Так, например, сеть знает каждое ваше посещение интернет-страниц, где стоит плашка «Поделиться в Facebook». Например, на сайте «Сноба».

Автор: юрист-международник, писатель, консультант компании ТСС, специализирующейся на кибербезопасности