Zgodnie z zapowiedzią ministra cyfryzacji Marka Zagórskiego, zespół CERT NASK przeanalizował jedną z najpopularniejszych aplikacji mobilnych do przerabiania zdjęć - poinformował resort. "Z wysokim prawdopodobieństwem stwierdzono", że badana wersja aplikacji nie zawiera złośliwego oprogramowania.
We wtorkowym komunikacie Ministerstwo Cyfryzacji przekazało, że zespół CERT NASK przeanalizował FaceApp - jedną z najpopularniejszych w ostatnim czasie aplikacji mobilnych do przerabianie zdjęć. Celem tego było sprawdzenie, czy umożliwia ona "kradzież" danych. "Zadaniem CERT NASK było sprawdzenie aplikacji pod kątem bezpieczeństwa informacji, m.in. ustalenie, gdzie trafiają dane użytkowników" - powiedział cytowany w komunikacie minister Zagórski. Jak wyjaśniono, w ubiegły piątek zespół ekspertów CERT Polska, działający w Państwowym Instytucie Badawczym NASK, dokonał analizy aplikacji FaceApp pod kątem cyberbezpieczeństwa.
Nie zbiera nadmiarowych danych
Eksperci wykorzystali aplikację w wersji 3.4.9.1. Uruchomili ją w specjalnie przygotowanym do tego środowisku. Podczas użytkowania monitorowali jej zachowanie oraz nagrywali generowany ruch sieciowy. Równolegle posługiwali się specjalistycznymi technikami statycznej analizy kodu aplikacji, aby upewnić się, że ich obserwacje są prawdziwe. W swojej analizie specjaliści CERT Polska opisują m.in. serwery i usługi, do których kierowany jest wychodzący z aplikacji ruch sieciowy. "Z przeprowadzonej analizy CERT Polska wynika, że żadne z wymienionych wyżej uprawnień nie daje aplikacji większego dostępu niż byłby faktycznie wymagany. Aplikacja nie posiada możliwości technicznych i uprawnień do zbierania nadmiarowych danych, w tym historii połączeń, lokalizacji, historii przeglądarki" - czytamy w raporcie. Ponadto, analizie CERT Polska poddane zostały "wszystkie z wymienionych wyżej strumieni danych, ale żaden z nich nie wygenerował nieuzasadnionego ruchu sieciowego ani nie był wykorzystywany niezgodnie z przeznaczeniem".
"Analiza potwierdziła, że aplikacja nie przesyła samowolnie lokalnych plików lub zdjęć z galerii. Do chmury trafiają wyłącznie zdjęcia, które zostały ręcznie wskazane przez użytkownika aplikacji" - wskazano.
Zwrócono jednocześnie uwagę, że producent aplikacji deklaruje, że większość zdjęć, które trafiają do jego chmury, nie jest przechowywanych dłużej niż 48 godzin. "Prawdziwości tej deklaracji nie możemy ani potwierdzić, ani zaprzeczyć, ponieważ zespół CERT Polska nie ma uprawnień, które umożliwiałyby kontrolowanie prywatnej infrastruktury chmurowej" - wskazano.
Zależy od ustawień
Eksperci zauważyli, że aplikacja ma dostęp nie tylko do samej treści wrzuconego obrazka, ale również do metadanych EXIF, które w niektórych przypadkach mogą zawierać m.in. pozycję GPS z miejsca zrobienia fotografii.
"To, czy tego typu dane są zapisywane w pliku zdjęcia, zależy od wybranych przez użytkownika ustawień prywatności, które obowiązują globalnie dla całego urządzenia" - napisano.
Ponadto, wolumen ruchu sieciowego generowanego przez aplikację podczas obróbki zdjęcia – rozmiar przesyłanych danych wskazuje na to, że przesyłana jest tylko wybrana fotografia. Zdaniem ekspertów, jeżeli użytkownik zdecyduje się na opcjonalną integrację z Facebookiem, aplikacja uzyska dostęp do galerii z jego profilu, ale również pozna jego imię, nazwisko, adres e-mail oraz zdjęcie profilowe. Dodatkowo aplikacja ma możliwość odczytania listy znajomych, ale tylko tych, którzy również używają FaceAppa.
Pismo do UODO
"W wyniku przeprowadzonej przez Zespół CERT Polska w NASK PIB analizy stwierdzono z wysokim prawdopodobieństwem, że badana wersja aplikacji (3.4.9.1) nie zawiera złośliwego oprogramowania ani backdoorów. Kolejne wydania aplikacji mogą wprowadzić nowe funkcje, w związku z czym należy w każdym przypadku użytkowania zachować ostrożność, zwłaszcza w sytuacji, gdy aktualizacji użytkownik proszony jest o udzielenie dodatkowych uprawnień" - czytamy. Resort cyfryzacji przekazał, że Departament Zarządzania Danymi Ministerstwa Cyfryzacji sprawdził aplikację pod kątem ochrony prywatności użytkowników.
"Efektem tej analizy jest pismo ministra cyfryzacji do Prezesa Urzędu Ochrony Danych Osobowych. W swoim wystąpieniu szef MC zwraca uwagę na m.in. konieczność zapewnienia przez tego typu aplikacje ich zgodności z przepisami RODO, które wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem" - czytamy.
Autor: tol / Źródło: PAP
Źródło zdjęcia głównego: Shutterstock