22 июля 2019 г.
Приложение FaceApp создает не больше угроз безопасности, чем обычные социальные сети, заверяют поставщики решений, с которыми связался CRN/США.
«Учитывая тип данных, которые смотрят [пользователи], и что они с ними делают, а также отсутствие других конфиденциальных данных в этом процессе, вся эта история излишне раздута», — говорит Эндрю Ховард (Andrew Howard), директор по технологии компании Kudelski Security, поставщика решений из Финикса.
Это приложение* для преобразования лиц на фотографиях вновь взлетело в топ чартов на прошлой неделе благодаря тому, что умеет очень реалистично «состарить» лицо, добавляя седину и морщины. Однако небывалая популярность FaceApp вызвала опасения в Конгрессе США, поскольку компания-разработчик** находится в России. В письме, направленном ФБР и Федеральной комиссии по торговле США (FTC) в четверг, сенатор Чак Шумер (Chuck Schumer, демократ от шт. Нью-Йорк) призвал провести расследование в отношении компании.
Огромное влияние, которым обладает в стране российское правительство, увеличивает риск, что данные, предоставленные коммерческой фирме, могут быть использованы нежелательным образом, пояснил его опасения Ховард. Но сам он считает, что страхи сильно преувеличены, поскольку при пользовании приложением не передается конфиденциальных персональных или коммерческих данных — во всяком случае, не намного больше, чем уже находится в социальных сетях.
«На деле, речь здесь идет об отдельных снимках, которыми пользователи всё равно хотят поделиться с другими, — говорит Ховард. — По всей вероятности, они уже делятся своей информацией там, где риски не меньше, а то и выше».
Создатель FaceApp официально заверил онлайн-издание TechCrunch, что никакие пользовательские данные не передаются в Россию, хотя группа разработки действительно находится в РФ. CRN/США не получил ответа на свой запрос на момент публикации.
В последние месяцы технологии преобразования лиц привлекли к себе повышенное внимание из-за появления скандальных фальшивых видео, созданных с использованием нейронных сетей на основе реальных съемок, свободно распространяемых в Сети, говорит Брайан Врожек (Brian Wrozek), вице-президент по корпоративной безопасности компании Optiv Security из Денвера (№ 27 в списке CRN «Solution Provider 500» 2019 года).
Знаменитости, руководители компаний и другие пользователи, потенциально рискующие своей репутацией, должны быть осторожны, разрешая приложениям вроде FaceApp доступ к фотографиям на своем мобильном устройстве, говорит Врожек. Обычным же пользователям вряд ли стоит так уж беспокоиться, поскольку у злоумышленников просто нет мотивов создавать их искаженные фото, считает он.
«Нужно смотреть в более широком контексте, оценивая свой профиль риска», — советует Врожек.
И всё же, отправка фотографий стороннему приложению представляет собой больший риск, чем обмен лишь текстовыми данными, поскольку изображения более информативны с точки зрения метаданных, говорит Ховард. Не задумываясь, пользователи часто передают вместе с фотографиями больше информации, чем хотят: в частности, эти фото могут содержать данные геотегирования при включенной GPS, пояснил он.
Впрочем, у какой-то неприятельской стороны, желающей собрать фотографии публичных персон, нет недостатка в других источниках таких фото, говорит Ховард. «Да и у обычного пользователя так много фотографий в интернете, что это только часть угрозы», — добавляет он.
В частности, власти штатов США располагают фотографиями большинства своих граждан на водительских удостоверениях и потенциально могут применять к ним технологию распознавания лиц, говорит Том Тёркот (Tom Turkot), вице-президент по клиентским решениям компании Arlington Computer Products (Баффало-Гроув, шт. Иллинойс).
«Мы уже отдали много информации о себе, — говорит он. — Не думаю, что это так уж серьезно».
Врожек из Optiv Security рад был услышать, что FaceApp удаляет большинство изображений со своих серверов в течение 48 часов после выгрузки и не передает информацию пользователей сторонним организациям, кроме своих филиалов. Тем не менее, он хотел бы знать, как компания намерена обеспечить соблюдение политик в последующие месяцы и годы.
Ховард из Kudelski Security также рад был услышать, что анализ, проведенный специалистами ИБ, показал, что FaceApp обрабатывает лишь те фотографии, которые были выбраны самими пользователями, и не собирает другие изображения или данные с их устройств. «Похоже они ведут честную игру», — сказал он.
Компании-разработчику следует обеспечить прозрачность в отношении того, какую информацию она имеет о пользователях, и чтобы пользователи могли легко запросить удаление своей информации, не проходя для этого длинную череду ссылок и не прибегая к помощи профессиональных аудиторов, чтобы убедиться в соблюдении надлежащих политик и процедур, говорит Ховард. А самим пользователям стоит удалить приложение, как только они закончат его использовать, чтобы поддерживать чистоту данных и минимизировать уязвимость, добавляет Врожек.
Учитывая, что компания-разработчик не находится в США или Евросоюзе, не вполне ясно, как регулируется и контролируется ее деятельность, чтобы гарантировать, что записи хранятся или передаются в соответствии с политикой конфиденциальности, говорит Тёркот. Было бы хорошо провести выборочные проверки того, что изображения действительно удаляются спустя 48 часов и что пользовательские данные не продаются на сторону, добавил он.
Пользователям следует также внимательно читать условия предоставления услуг и следить, чтобы они не были изменены так, что это подвергает их риску, говорит Врожек.
Ховард также предупреждает, что политики часто подвергаются изменениям, соблюдаются не полностью, а сами потребители чаще всего ими не интересуются. Поэтому лишь очень немногие из пользователей замечают, что компания изменила свою политику конфиденциальности данных.
Вообще же, пользователям бесплатных версий приложений следует исходить из того, что разработчик зарабатывает деньги, передавая те или иные данные рекламодателям, или имеет какую-то иную финансовую мотивацию, говорит он.
«Если они не взимают плату, то это единственный для них вариант», — добавил Ховард.
* Первая версия стартовала в начале 2017 года. (Прим. перев.)
** Wireless Lab, основатель и исполнительный директор Ярослав Гончаров.
© 2019. The Channel Company LLC. Initially published on CRN.com, a The Channel Company website, at https://www.crn.com. Reprinted with permission.
Источник: Майкл Новинсон, CRN/США