De populaire fotobewerkingsapp FaceApp heeft voor dubbel slechte krantenkoppen gezorgd. Niet alleen is het het doelwit geworden van cybercriminelen, maar er zijn ook zorgen over de privacy gerezen.
FaceApp is momenteel een van de populairste apps ter wereld op Android en iOS en is alleen al in de afgelopen dagen miljoenen keren gedownload. De hype heeft ook cybercriminelen aangetrokken. Onderzoekers van de beveiligingsfabrikant Eset hebben ontdekt dat fraudeurs een neppe gratis “Pro”-versie hebben uitgebracht. In plaats van nieuwe functies krijgen gebruikers aanbiedingen om andere betaalde apps, abonnementen, advertenties of enquêtes te installeren.
Nepversie circuleert
Hoe de criminele app op de smartphones van gebruikers terecht is gekomen, is volgens Eset al achterhaald. Aan de ene kant, de cybercriminelen aangeboden de vermeende premie variant van FaceApp gratis op valse websites. Ten tweede waren er Youtube-video’s waarin “FaceApp Pro” werd aangeprezen met links naar de download. Meestal worden hiervoor URL-verkorters gebruikt. Op deze manier zien gebruikers niet wat ze op hun apparaten installeren. Volgens Eset heeft een van deze filmpjes al meer dan 150.000 views gegenereerd.
Thomas Uhlemann, beveiligingsspecialist bij Eset, is niet verbaasd dat zulke populaire apps als FaceApp criminelen aantrekken. Hij adviseert gebruikers: “Ondanks de belangstelling moeten gebruikers het hoofd koel houden, het aanbod goed controleren en altijd alleen apps downloaden uit de officiële app stores.”
Voor de bescherming raden beveiligingsexperts daarom aan om het Android-toestel altijd up-to-date te houden en updates en mobiele beveiligingsoplossingen te installeren. Bovendien moeten onofficiële app stores worden vermeden. Het is ook de moeite waard om de opmerkingen van gebruikers, het aantal installaties en de vereiste toegangsrechten te controleren alvorens te downloaden.
Gegevensbeschermingslacunes
De voorwaarden met betrekking tot de rechten op de bewerkte foto’s gaven ook aanleiding tot kritiek. Met FaceApp kunnen gebruikers selfies of portretfoto’s bewerken met verschillende filters. Zo kan bijvoorbeeld de gezichtsuitdrukking, de leeftijd of het geslacht worden veranderd.
De app, die sinds 2017 op de markt is, is afkomstig van het Russische bedrijf Wireless Lab. Volgens een vertaling van Sophos, staat er in de gebruikersvoorwaarden:
“U verleent FaceApp een eeuwigdurende, onherroepelijke, niet-exclusieve, royaltyvrije, wereldwijde, volledig betaalde, overdraagbare sublicentie voor het gebruiken, reproduceren, wijzigen, aanpassen, publiceren, vertalen, er afgeleide werken van maken, distribueren, in het openbaar uitvoeren en weergeven van uw Gebruikerscontent en alle namen, gebruikersnamen of gelijkenissen die in verband met uw Gebruikerscontent zijn gegeven in alle media-indelingen en kanalen die nu bekend zijn of later worden ontwikkeld, zonder vergoeding aan u (…).”
Gebruikers moeten echter wel kunnen verzoeken om verwijdering van hun gegevens.
Controversiële gebruikersovereenkomsten
In het algemeen is FaceApp geen uitzondering. Het privacybeleid van Accuweather bijvoorbeeld leidde ook tot discussies omdat het locatiegegevens doorgeeft. Deze overdracht werd mogelijk gemaakt door het beleid van de app om informatie te verzamelen over andere apparaten in de buurt, waaronder een Wi-Fi-router. Volgens de voorwaarden van de app mogen ook apparaat-id’s en informatie van draagbare apparaten, zoals polsslag of lichaamstemperatuur, worden opgevraagd.
Een ander voorbeeld van twijfelachtige gebruiksrechten zijn afbeeldingen op Facebook, die kunnen worden gebruikt voor advertenties of gesponsorde inhoud, samen met gegevens over andere acties die gebruikers op Facebook uitvoeren, ook al verklaart het bedrijf dat gebruikers eigenaar zijn van hun inhoud. Veit voegt daaraan toe: “Bovendien kan Facebook beelden delen met derden, waaronder niet nader genoemde dienstverleners die Facebook ondersteunen.”
In principe kunnen gebruikers deze “overeenkomst” met Facebook beëindigen door de beelden te verwijderen. De afbeelding kan echter nog steeds worden weergegeven als gebruikers het met vrienden hebben gedeeld en het daar niet is verwijderd.