FaceApp risponde ai dubbi degli utenti allarmati per la propria Privacy (aggiornato: anche Check Point rassicura)
FaceApp, l'app che trasforma i volti delle persone sfruttando potenti processi di IA e che sta vivendo una seconda giovinezza, è diventata virale nel giro di pochissimi giorni. Noi stessi l'abbiamo provata così come tantissimi utenti in tutto il mondo. Nelle ultime ore però si sono moltiplicate affermazioni allarmistiche sul comportamento dell'applicazione e sulle implicazioni per la Privacy.
In particolare sono state avanzate preoccupazioni sul fatto che FaceApp, una startup russa, carichi le foto in cloud invece che processarle in locale e non soltanto le immagini selezionate, ma tutte quelle presenti nella galleria dell'utente. L'azienda ha prontamente risposto alle critiche chiarendo la sua posizione con una comunicazione ufficiale (la trovate a fine articolo) in cui risponde ai timori sollevati e più in generale fa luce su alcuni comportamenti.
Prima di tutto specifica che solamente le foto selezionate vengono effettivamente caricate nel cloud, operazione necessaria principalmente per motivi di performance e traffico dati.
La maggior parte delle foto comunque viene eliminata entro 48 ore dal primo caricamento. Anche se l'azienda e gli sviluppatori si trovano in Russia, le immagini e i dati non vengono trasferiti in quel paese, visto che FaceApp usa AWS e Google Cloud.
Si può richiedere la rimozione dei dati personali (anche se in questo momento il team che se ne occupa è sovraccarico) direttamente dall'app andando in Settings > Support > Report a bug e usando il termine "privacy" nell'oggetto. FaceApp ammette che non è una soluzione ideale, ma afferma che stanno lavorando su una interfaccia migliore. FaceApp non ha accesso ai dati degli utenti visto che il 99% delle persone che usa la sua app non si registra (ciò tra l'altro rende più difficile anche soddisfare le richieste di cancellazione dei dati personali). In ogni caso dichiara che non vende né condivide le informazioni sugli utenti con nessuno.
Infine a chi ha notato che l'app iOS è in grado di accedere alle foto anche se viene negata la relativa autorizzazione, specifichiamo che questo funzionamento è lecito: iOS infatti permette di impedire a un'app di accedere a tutto il rullino fotografico, ma allo stesso tempo consente all'utente di selezionare manualmente singole foto per l'uso con quella specifica applicazione.
We are receiving a lot of inquiries regarding our privacy policy and therefore, would like to provide a few points that explain the basics:
1. FaceApp performs most of the photo processing in the cloud. We only upload a photo selected by a user for editing. We never transfer any other images from the phone to the cloud.
2. We might store an uploaded photo in the cloud. The main reason for that is performance and traffic: we want to make sure that the user doesn’t upload the photo repeatedly for every edit operation. Most images are deleted from our servers within 48 hours from the upload date.
3. We accept requests from users for removing all their data from our servers. Our support team is currently overloaded, but these requests have our priority. For the fastest processing, we recommend sending the requests from the FaceApp mobile app using “Settings->Support->Report a bug” with the word “privacy” in the subject line. We are working on the better UI for that.
4. All FaceApp features are available without logging in, and you can log in only from the settings screen. As a result, 99% of users don’t log in; therefore, we don’t have access to any data that could identify a person.
5. We don’t sell or share any user data with any third parties.
6. Even though the core R&D team is located in Russia, the user data is not transferred to Russia.
Additionally, we’d like to comment on one of the most common concerns: all pictures from the gallery are uploaded to our servers after a user grants access to the photos (for example, https://twitter.com/joshuanozzi/status/1150961777548701696). We don’t do that. We upload only a photo selected for editing. You can quickly check this with any of network sniffing tools available on the internet.
Check Point Software Technologies, "il principale fornitore di soluzioni di cybersecurity a livello globale", ha rilasciato un proprio comunicato in merito alla vicenda FaceApp
- Permissions:
- The app uses very few permissions, and only the permissions needed for the app to operate.
- Internet and network state – to connect to FaceApp’s servers and upload data.
- Camera – to take pictures and videos.
- Read and Write to external storage – for uploading and downloading images to and from the device.
- Billing – for in-app purchases (other filters I guess).
- Wake lock – part of the FireBase service.
- And other gservices permissions
- Data access:
- As mentioned above, the app can access the gallery and external storage.
- There is an ability to load a .dex file from the internet, but they use if for Google-related services (permission g.)
- Build info of the device is sent to the internet – a part of the FireBase service.
- Android OS version, and stuff like that.
- Image Processing:
- We can say that the entire of the image processing process is done on FaceApp cloud servers.
- The data is sent to their servers, over HTTPS, to be processed.
In conclusion, we have found nothing out of the ordinary in this app.
I must say, that this app seems to be developed in a good-fashion – no greedy permissions, and it does what they claim it does.
They even state in their privacy section, that they upload the data to their servers https://faceapp.com/privacy
Check Point non ha insomma trovato nulla di strano in FaceApp. Niente permessi sospetti, ed una privacy policy che riporta chiaramente il fatto che le foto vengano caricate sui server di FaceApp a scopo di elaborazione. Insomma, l'intera vicenda sembra essere un tantino sfuggita di mano, considerando che di "minacce" alla privacy ce ne sono di ben più gravi.