A lengyel CERT közzétette a FaceApp elemzésük eredményét

 

A FaceApp-ot ért adatlopási vádak miatt több országban is vizsgálat indult, köztük Lengyelországban, ahol az országos számítógép vészhelyzet kezelő csoport (Computer Emergency Response Team – CERT), a CERT Polska foglalkozott a kérdéssel. Mint, kiderült, a FaceApp 3.4.9.1-es androidos verzióján végzett elemzés során nem találtak bizonyítékot visszaélésre. Az alkalmazás hálózati kommunikációval kapcsolatban megállapították, hogy az applikáció a vizsgálatkor nem kommunikált gyanús szerverek felé, valamint a vádakkal ellentétben nem továbbított tetszés szerint képeket, csupán azon fényképeket töltötte fel a felhőbe, amelyeket a felhasználó a kép manipulálásához kiválasztott. Megjegyzik ugyanakkor, hogy az alkalmazás a kiválasztott képfájlok Exif metaadataihoz is hozzáfér, amelyek között ─ az adott eszköz beállításaitól függően ─ a kép készítésének GPS helyadatai is megtalálhatóak lehetnek. Az elemzés eredményeképp valószínűtlennek tartják, hogy a szoftver rosszindulatú kódot tartalmazna. Az androidos verzión igényelt jogosultságoknak is figyelmet szenteltek, amelyek között nem találtak olyat, amely nagyobb jogkört adna az appnak, mint ami a funkcióihoz szükséges lenne, habár felhívják a figyelmet arra, hogy a felhasználóknak mindig célszerű gyanakvással tekinteni arra, amennyiben egy frissítés után egy alkalmazás további jogosultságokat kér. A harmadik kivizsgálandó témakört az jelentette, hogy a FaceApp részéről indokolt-e a felhő használata. Az elemzők álláspontja szerint szerint igen, ugyanis a képek módosítása nagy számítási kapacitást igényel, így a felhőben lévő erőforrások felhasználása technikai és üzleti szempontból is optimális döntésnek tekinthető, ugyanakkor a fejlesztő azon állítása, miszerint a képek maximum 48 óráig tárolódnak a szerveren nem ellenőrizhető. A CERT Polska szerint tehát az applikáció adatvédelmi kockázat tekintetében összességében egy standard terméknek számít a piacon, amelynél ugyanazon kockázattal kell számolnunk, mint bármely más alkalmazásnál, amely személyes adatokat továbbít az Interneten keresztül. A posztban mindemellett javasolják megtekinteni a botrányt indító személy által közzétett korrekciót is.

(cert.pl)