Na zlecenie resortu Cyfryzacji zespół ekspertów CERT Polska (Computer Emergency Response Team) przeprowadził analizę bezpieczeństwa przeżywającego drugą młodość FaceAppa.
– Chodziło o sprawdzenie aplikacji pod kątem bezpieczeństwa informacji, m.in. ustalenie, gdzie trafiają dane użytkowników – wyjaśnia minister cyfryzacji Marek Zagórski.
Stwierdzono z wysokim prawdopodobieństwem, że badana wersja aplikacji (3.4.9.1) nie zawiera złośliwego oprogramowania ani backdoorów. Kolejne wydania mogą wprowadzić nowe funkcje, w związku z czym należy w każdym przypadku użytkowania zachować ostrożność, zwłaszcza w sytuacji, gdy użytkownik proszony jest o udzielenie dodatkowych uprawnień.
W raporcie pojawia się jednak pewien powód do niepokoju:
Jeżeli użytkownik zdecyduje się na opcjonalną integrację z Facebookiem, aplikacja uzyska dostęp do galerii z jego profilu, ale również pozna jego imię, nazwisko, adres e-mail oraz zdjęcie. Dodatkowo program ma możliwość odczytania listy znajomych, ale tylko tych, którzy również używają FaceAppa.
Warto odnotować, że FaceApp ma dostęp nie tylko do zdjęć, ale również do metadanych EXIF, które w niektórych przypadkach mogą zawierać m.in. pozycję GPS z miejsca zrobienia fotografii. Aplikacja nie ma natomiast możliwości technicznych i uprawnień do zbierania nadmiarowych danych, w tym historii połączeń, lokalizacji i historii przeglądarki.
Nasza analiza potwierdziła, że aplikacja nie przesyła samowolnie lokalnych plików lub zdjęć z galerii. Do chmury trafiają wyłącznie te, które zostały ręcznie wskazane przez użytkownika – orzekli specjaliści.
Ruch sieciowy generowany przez aplikację podczas obróbki zdjęcia – rozmiar przesyłanych danych – wskazuje na to, że przesyłana jest tylko wybrana fotografia.
Czy FaceApp jest więc aplikacją bezpieczną? W zasadzie tak, ale:
FaceApp jest obecnie standardowym produktem w segmencie aplikacji chmurowych i należy traktować go z taką samą ostrożnością, jak wszystkie pozostałe aplikacje, które przesyłają nasze dane do internetu – zaznacza CERT.
Pełną treść raportu znajdziecie na stronie Ministerstwa Cyfryzacji.
https://www.chip.pl/2019/07/trojan-mobidash-podszywa-sie-pod-faceapp/