ФСБ в смартфоне: Как уберечься от приложений наподобие FaceApp

Depo.ua рассказывает, почему американское ведомство встревожено российскими приложениями, при чем в данной ситуации FaceApp и как обезопасить себя от рисков, которые подстерегают каждого в собственном гаджете.

ФБР рассматривает любое мобильное приложение, разработанное на России, в качестве "потенциальной угрозы контрразведке". Беспокойство органа частично основывается на "правовых механизмах, доступных правительству России, которые позволяют получить доступ к данным", пишет Bloomberg со ссылкой на текст письма ведомства.

Издание добавляет, что беспокойство ФБР касается и популярного приложения FaceApp, (разработка российской лаборатории Wireless), которое уже успело наделать шума.

История с FaceApp

FaceApp - приложение с разнообразными фильтрами и масками для фотопортретов. Программа появилась еще в 2017 году, а свою вторую волну популярности поймала летом 2019 года, когда сделала бесплатной функцию "возрастных" фильтров - при помощи него пользователи могут "состарить" свое лицо на фото.

Создатель приложения - Ярослав Гончаров, выходец из "Яндекса" и директор российской Wireless Lab, компании-разработчика программы. Само приложение, однако, в App Store и Google Play загружено от имени другой компании - FaceApp Inc, зарегистрированной в Делавэре, США.

Как все было?

14 июля разработчик Джошуа Ноззи опубликовал в Twitter-аккаунте обвинения в том, что FaceApp, похоже, загружает все фотографии в библиотеку пользователя, а не только те, которые данный пользователь выбирает для непосредственной обработки в программе. Он также акцентировал внимание на происхождении приложения из России и выразил обеспокоенность по поводу доступа этой страны к данным американцев с помощью программы.

В FaceApp тогда ответили следующим образом (мы приводим сокращенную версию ответа):

"Мы можем сохранять загруженную фотографию в облаке. Главная причина этого - производительность и трафик: мы хотим убедиться, что пользователь не загружает фотографию повторно при каждой операции редактирования. Большинство изображений удаляются с наших серверов в течение 48 часов с момента загрузки. FaceApp выполняет большую часть обработки фотографий в облаке. Мы загружаем только выбранную пользователем фотографию для редактирования. Мы никогда не переносим никакие другие изображения с телефона на облако. Несмотря на то, что основная научно-исследовательская группа находится на России, пользовательские данные не передаются на  Россию".

Упреки к приложению довольно стандартные для большинства ему подобных программ. FaceApp большей частью имеет доступ только к камере и хранилищу вашего девайса, при регистрации Facebook - получает доступ к общей видимой информации из профиля и фото (в том числе доступных только вам или узкому кругу друзей).

Также в политике приватности FaceApp указано, что приложение может собирать данные о других сервисах, которыми вы пользуетесь, используя устройство с которого заходите в приложение, какие сайты посещаете, и некоторую другую информацию. По сути - ни больше, ни меньше чем большинство других приложений для редактирования фото или общения и обмена сообщениями, пишет 9to5mac.

Впрочем, скандал относительно приложения пронесся по мировым СМИ, и это побудило политиков Соединенных Штатов выяснять вопрос относительно безопасности его использования.

В июле сенатор США Чак Шумер попросил ФБР и Федеральную торговую комиссию изучить влияние данной программы для национальной безопасности и конфиденциальности информации в США, получив 3 декабря ответ о "потенциальных угрозах".

The FBI just responded to me about #FaceApp.

They warned that any app developed in Russia is a potential counterintelligence threat.

Americans should be careful downloading apps developed in foreign countries that are known adversaries. pic.twitter.com/KHAZFIr1AB

— Chuck Schumer (@SenSchumer) 3 декабря 2019 г.

 

Собиратели душ данных в РФ

Не смотря на то, что FaceApp, возможно, и не представляет собой кусок пазла с шпионским замыслом, и российские спецслужбы не собирают при помощи именно этой программы фотобазу жителей из разных стран мира, но беспокойство из-за происхождения какого-либо программного обеспечения из Российской Федерации весьма понятно.

Во время использования таких служб, как FaceApp, люди раскрывают много о себе, включая биометрические данные, говорит Джим Бейкер, бывший генеральный советник ФБР.

Люди "предоставляют много информации, которая может быть полезной зарубежному правительству, если они хотят нацелиться на вас или кого-то из социальной сети вокруг вас", - сказал Бейкер, который сейчас является директором по национальной безопасности и кибербезопасности на базе Вашингтона R Street Institute.

Тем временем сеть Интернет регулярно сотрясают сообщения об очередной атаке российских хакеров, интернет-троллей и ботов, случаи с которыми уже сложно подсчитать.

Из последнего - сообщение о том, что российские хакеры загружают в интернет-магазины фейковые приложения (под видом, например, Skype, Signal и PornHub), которые шпионят за пользователями и передают данные, включая изображения экрана смартфона, на территорию РФ, сообщается в отчете компании Lookout, которая занимается цифровой безопасностью.

Не отстают на России и от накопления механизмов по прессингу собственного населения. В частности, в этом году в ней приняли закон о "суверенном Интернете", который позволяет российскому правительству отрезать "рунет" от остальной мировой паутины - а это, соответственно, открывает огромные возможности для усиленного сбора информации о своих гражданах и возможности еще большего ограничения свободы слова в сети.

С 2015 года власти России требуют от интернет-компаний хранить персональные данные российских пользователей внутри страны, а ее службы безопасности имеют право требовать от компаний, занимающихся социальными сетями, предоставлять доступ к онлайн-данным пользователей.

"Российские спецслужбы поддерживают надежные возможности кибер-эксплуатации", - заявило ФБР, добавив, что власть там "может удаленно получать доступ ко всем коммуникациям и серверам в российских сетях" без запросов к Интернет-провайдерам.

Что делать с приложениями

Скорее всего, устанавливая новую программу на смартфон, вы быстро кликаете на согласование с политикой конфиденциальности приложения и еще несколькими нажатиями предоставляете доступ ко всем функциям, которых требует программа. А как часто вы задумываетесь над тем, куда дальше отправятся ваши данные?

Когда приложения наподобие FaceApp становятся вирусными, стоит отступить на шаг назад. Да, они могут представлять собой юмористический или полезный контент, но из-за этого могут возникнуть непредвиденные последствия и проблемы в неприкосновенности частной жизни.

При любой загрузке рассмотрите один из худших сценариев: в приложении произошла утечка данных и ваша личная информация оказалась в свободном доступе в сети Интернет или же в базах покупки данных.

Задайте себе вопрос - какой информацией о себе я готов(а) поделиться в таких условиях?

Если вы не готовы регулярно отслеживать активность приложений, а также полностью читать (и понимать) условия пользования каждым из них, то не исключена возможность некоретного использования ваших данных. Это уже могло случиться, просто вы этого не знаете.

И хотя наиболее популярные приложения редко когда попадают в подобные спорные ситуации (вспоминаем все факапы Facebook), утечка данных происходит с такой частотой, что нам необходимо помнить, чем мы рискуем при каждом размещении нашей личной информации.

Издание ExtremeTech отмечает: "Каждый предоставленный доступ, каждая загруженная фотография и каждый бит информации, который мы предоставляем приложению, независимо от того, идентифицируют эти данные нас прямо или косвенно, предоставляет компаниям новую информацию о нас, на владение которой они часто претендуют через свои условия предоставления услуг. Они могут использовать, а могут и не использовать собранные данные в неприятных целях, но по факту они сами предоставляют себе право на это, ведь знают, что вы будете игнорировать процесс регуляции доступа к вашим данным".

Каким образом решить эту проблему?

Детальными, расширенными настройками доступа к данным для каждого отдельного приложения на смартфонах. Важными аспектами также являются простота доступа к этим настройкам, информирование граждан об опасности утечки их персональных данных.

Впрочем, все это не помешает приложениям продолжать спрашивать разрешение на получение широкого (и часто ненужного для функционирования программы) массива данных в качестве платы за пользование приложением.

Вероятно, вы не будете возражать против того, чтобы какое-то приложение похожее на FaceApp внутренне использовало ваше селфи, чтобы повысить качество разработки. Впрочем, вряд ли вам понравится, если эти данные будут использоваться для другой цели. Даже без предоставления целой библиотеки ваших фотографий, и даже если FaceApp действительно удаляет изображение через 48 часов (в чем мы не можем быть уверены), они все равно имеют более чем достаточно времени, чтобы извлечь из данных пользу. А вот исключительно в целях дальнейшего развития и рекламы, или также и со скрытым умыслом - неизвестно.

Как обезопасить себя от потенциально вредоносных приложений?

Следующие советы не обеспечат 100% гарантии безопасных загрузок, но позволят избежать наиболее типичных ошибок пользователей.

Обратите внимание, что стандартная проверка Google Play или AppStore не гарантирует безопасности загруженных в магазины приложений: действительно, из каталогов регулярно изымаются по несколько сотен программ из-за жалоб пользователей на вредоносный контент или подозрительную активность.

Присматривайтесь к рейтингу программы и читайте отзывы пользователей. Много одинаковых, коротких сообщений и в то же время ярко выраженные оценки 1 и 5 практически без средних оценок (рейтинг получается в форме перевернутой латинской буквы U) с большой вероятностью свидетельствуют об их "накрутке".

Помните, что ни одно приложение, кроме официальных программ от социальных сетей не может запрашивать ваши личные пароли от учетных записей. Загружайте приложения исключительно от проверенных разработчиков и компаний, желательно используя ссылку на официальном сайте.

Перед тем, как скачать любое приложение из маркета, проверьте его при  помощи Google (желательно на английском языке) - профильные издания, которые специализируются на кибербезопасности, регулярно публикуют списки опасных программ и их уязвимости.

Обращайте внимание на политику конфиденциальности. Например, 86% лучших VPN-приложений опасны, по данным ZD.net. Разработчиками 60% "лучших" бесплатных мобильных VPN-приложений в Google Play Store и Apple Play Store являются китайские компании или физические лица, и в большинстве таких приложений очень слабая политика конфиденциальности данных пользователей - то есть, весь смысл использования такого приложения может быть нивелирован, а ваши данные могут попасть неизвестно в чьи руки.