Am discutat cu un specialist în securitate informatică despre riscurile la care ne expunem singuri atunci când acordăm acces aplicațiilor la toate datele din telefon.

Îl ultima vreme, tot mai mulți utilizatori postează pe Instagram și Facebook fotografii editate cu aplicația FaceApp, care le îmbătrânește sau le întinerește chipul. Mai mulți experți în securitate cibernetică au avertizat însă că există riscul ca această aplicație să stocheze date personale și fotografii, care să fie folosite ulterior în scopuri necurate.

Riscul ar fi și mai mare dacă ne gândim că FaceApp este o aplicație făcută de o companie din Rusia. Totuși, chiar și Facebook și Google au fost acuzate că folosesc date personale ale utilizatorilor în scopuri comerciale (pentru reclame targetate), dar nu numai (a se vedea scandalul Cambridge Analytica).

Prin urmare, se pare că nicio aplicație sau platformă nu este în totalitate sigură din punct de vedere al confidențialității datelor. Am discutat despre acest subiect cu Bogdan Savu, Director of Engineering la Tremend Software Consulting.

Cât de sigure sunt aplicațiile de editare a fotografiilor, de tipul Snapchat sau FaceApp? Există un pericol mai mare comparativ cu alte aplicații precum Instagram și Facebook?

Bogdan Savu: Aplicații precum Facebook, Instagram și Snapchat solicită o serie de permisiuni în plus față de FaceApp, precum: localizare, acces la agenda telefonică, acces la microfon. Aceste solicitări sunt, de regulă, justificate pentru utilizator în ideea că ajută la buna funcționare a aplicațiilor, cu sprijinul anumitor funcții. Puțini utilizatori cunosc însă faptul că aplicațiile care primesc aceste permisiuni pot avea acces la informații precum conexiunile Wi-Fi, setările Bluetooth și la cele despre dispozitivele cu care s-au conectat prin Bluetooth.

Din punct de vedere al securității, FaceApp este o aplicație care solicită acces la mai puține resurse. În general, riscurile sunt asociate cu permisiunile pe care utilizatorul le acordă, însă trebuie să avem în vedere că, în cazul în care se folosesc aplicații dezvoltate de surse autorizate, de încredere, acestea sunt verificate de către deținătorii platformelor de distribuție a aplicațiilor mobile (GooglePlay, AppleStore) și astfel riscul de a conține vulnerabilități este minimizat.

Un alt aspect este legat de spațiul în care aplicațiile stochează informații, în afara dispozitivelor (de exemplu, în cloud). Astfel procedează Facebook, Google, Instagram și alte servicii și platforme online. Aplicația FaceApp este suspectată că stochează pozele utilizatorilor într-un spațiu extern cu scopul de a fi utilizate ulterior. În termenii și condițiile aplicației regăsim faptul că utilizatorii acordă: „perpetual, irrevocable, non-exclusive, royalty-free, worldwide ownership of images used in the app and the freedom to use, reproduce, modify, adapt, publish and translate them however they see fit”. Acesta este un aspect legal foarte important, pentru că utilizatorul pierde controlul datelor pe care le furnizează și nu mai are ulterior nicio posibilitate de a reveni asupra acestor permisiuni (odată ce pozele au fost create și stocate, ele nu mai sunt sub controlul utilizatorului, conform politicii). FaceApp este doar un alt exemplu care ne arată că utilizatorii furnizează date personale cu prea mare ușurință, iar riscurile la care se expun merg de la furtul de identitate, până la utilizarea acestor date pentru accesarea neautorizată a altor resurse.

Ce riscuri există atunci când utilizatorul permite accesul aplicației la datele personale sau la fotografii?

Bogdan Savu: Aplicația, odată ce are acces la datele personale ale utilizatorului (agendă, fotografii, documente), poate copia aceste date fără știrea utilizatorului. Aceste date pot fi ulterior folosite, de exemplu, pentru a servi reclame personalizate acelui utilizator sau în alte scopuri rău intenționate. Drepturile de acces implică posibilitatea de copiere, expunere dar și de modificare sau ștergere a informațiilor colectate. Așadar, riscurile sunt aferente acestor posibilități.

Poate fi folosită o aplicație fără acordarea accesului la datele personale? Dispare pericolul dacă dezinstalăm aplicația, există trucuri în acest sens, pe care le-ar putea folosi utilizatorii?

Bogdan Savu: Anumite aplicații au nevoie de o serie de permisiuni pentru desfășurarea activității principale (ex. Tinder are nevoie în permanență ca serviciul de localizare să fie activ), iar de altele doar în anumite situații sau momente. Pentru a limita cantitatea de informații personale la care are acces, utilizatorul poate menține blocat accesul la resursele solicitate până în momentul în care o anumită funcție solicită deblocarea. De multe ori, utilizatorii acceptă toate cererile ce apar pe ecran sub formă de solicitare la instalarea unei aplicații, pentru a o putea utiliza cât mai repede. Acest lucru trebuie descurajat, utilizatorii trebuie să analizeze orice astfel de solicitare și să acorde doar drepturile pe care le consideră necesare. Dezinstalarea unei aplicații revocă automat toate permisiunile acceptate pentru respectiva aplicație.

Există riscul ca hackerii să poată folosi o fotografie preluată printr-o aplicație de acest fel și să acceseze contul bancar al utilizatorului, prin ApplePay care folosește autentificare FaceID?

Bogdan Savu: Nu există nicio posibilitate ca, pe baza unei singure fotografii, să poți trece de autentificarea FaceID. Această metodă de autentificare folosește senzori infraroșu și camere speciale, care creează un profil 3D al feței utilizatorului în momentul înrolării și practic este imposibil să fie păcălit numai cu o singură fotografie, nici chiar în cazul gemenilor care au trăsături faciale asemănătoare. Trebuie avut în vedere că există și sisteme de recunoaștere facială, mai vechi sau mai puțin performante, care ar putea fi „păcălite” de o poză. De aceea, utilizatorul trebuie să analizeze foarte bine dacă permite unei aplicații ca autentificarea să se facă pe baza recunoașterii faciale.

Cum se pot proteja utilizatorii, ce le recomandați celor care vor să folosească în continuare aplicații de acest fel, dar vor sa fie siguri că datele lor sunt în siguranță?

Bogdan Savu: O recomandare pentru prezent ar fi să acceseze zona de App Permissions a dispozitivelor mobile și să analizeze informațiile la care au acces diferitele aplicații instalate. Un prim pas către securizarea datelor personale la care au acces aplicațiile instalate pe telefonul mobil ar fi să dezactiveze permisiunile care nu au legătură cu activitatea principală a aplicației. De exemplu, serviciul de localizare nu este esențial pentru Facebook, ci doar pentru anumite funcționalități.