Mobilieji telefonai šiandien nėra tik priemonė, padedanti susisiekti su pageidaujamu asmeniu. Šiuolaikiniai telefonai yra kompiuteriai, kupini įvairios informacijos. Puiku, jei ją valdo įrenginio savininkas, tačiau jei ji patenka į piktadarių rankas – gero nelauk. O tokių atvejų pasitaiko. Ir ne visai retai. Apmaudu, bet piktavaliams duomenis dažnai atiduodame laisva valia. Tiesa, nebūtinai to norėdami – aplaidžiai diegdamiesi mobiliąsias programėles. Kad ir kaip norėtųsi, ne visų jas kūrusių asmenų ir kompanijų tikslai yra kilnūs. Dažnai siūlomos programėlių funkcijos tėra tik gera priedanga išvilioti vartotojų duomenis, esančius jų telefonuose.
Plito tarsi virusas
Puikus pavyzdys – neseniai ažiotažą visame pasaulyje sukėlusi „FaceApp“ programėlė. Sukurta ji buvo dar 2017 metais ir iki šios vasaros buvo pritraukusi apie 80 mln. vartotojų. Jų skaičius šiemet rekordiškai išaugo, kai interneto garsenybės ir galybė kitų vartotojų paskelbė „FaceApp“ iššūkį. Socialiniuose tinklalapiuose ėmę dalintis nuotraukomis, apdirbtomis minėta programėle, kuriose jie atrodo gerokai pasenę arba atjaunėję, žmonės ragino ir kitus vartotojus parsisiųsti programėlę bei dalintis ja apdorotu savo atvaizdu. Taip programėlės naudotojų skaičius išsiplėtė iki dešimčių milijonų. Turbūt jis ir toliau būtų augęs, jei vienas programuotojas nebūtų pasidalinęs perspėjančia žinute apie aplikaciją. Savo socialinio tinklalapio paskyroje amerikietis Džošua Nozi parašęs, kad „FaceApp“ be jokio akivaizdaus vartotojo leidimo gali iš telefono atsisiųsti visas vartotojo nuotraukas – ne tik tą, kurią vartotojas nori sendinti, sukėlė visuotinį susirūpinimą.
Keliai veda į Rusiją
Po šios žinios programėlę ėmė analizuoti įvairūs internetinio saugumo ekspertai. Jie pastebėjo, kad nuotraukos, kurias programėlė galėtų apdoroti vartotojų įrenginiuose, yra siunčiamos į nutolusius serverius. Iš pradžių manyta, kad jie yra įkurdinti Rusijoje, nes programėlę sukūrusi bendrovė registruota Sankt Peterburge. Daugelio nuostabai išsiaiškinta, kad minėti serveriai yra visai ne Rusijoje, o JAV – „Amazon“ priklausančiuose duomenų centruose. Būtent todėl, kad vartotojų nuotraukos apdorojimui yra siunčiamos į nutolusius serverius, interneto saugumo specialistams kilo susirūpinimas vartotojų privatumu jiems naudojant „FaceApp“ programėlę.
Tokia programėlės veikimo schema klausimų sukėlė ir Nacionalinio kibernetinio saugumo centrui (NKSC) prie Krašto apsaugos ministerijos.
Jis, siekdamas užtikrinti saugios mobiliesiems įrenginiams skirtos programinės įrangos naudojimą šalies viduje, atliko taikomosios mobiliosios programėlės „FaceApp“ kibernetinio saugumo vertinimą. NKSC paaiškina, kad mobilioji programėlė „FaceApp“ yra Rusijos programinės įrangos gamintojo „OOO Wireless Lab“ nuotraukų transformavimo programėlė, specializuotais filtrais leidžianti grafiškai modifikuoti nuotraukose esančių veidų savybes – juos pasendinti, atjauninti, pridėti šypseną ar pakeisti lytį charakterizuojančius veido bruožus.
Įtarimą kelia veikimo schema
Iš pirmo žvilgsnio programėlė atrodo linksma ir paprasta – neįtartum, kad vartotojui ji gali kaip nors pakenkti. Tačiau NKSC praneša nustatęs, kad „FaceApp“, kuri, kaip oficialiai skelbiama, yra nuotraukoms apdoroti skirta programa, iš tiesų mobiliuose įrenginiuose atlieka tik dalines aktualiųjų duomenų (nuotraukų) modifikacijos procedūras (glaudinimas ir dalinis apdorojimas), o paskui šią iš dalies apdorotą informaciją siunčia į nutolusį serverį galutiniam apdorojimui. Kaip ir užsienio interneto specialistai, NKSC taip pat nustatė, kad dauguma „FaceApp“ serverių yra registruoti Jungtinėse Amerikos Valstijose. Ir, kaip jau žinoma, iš serverio duomenys atsiunčiami bei sukomponuojami mobiliajame įrenginyje, kurie vėliau atvaizduojami vartotojui. Tyrimo metu pastebėta, kad „Android“ platformoje veikiančios programėlės atveju į serverį vidutiniškai išsiunčiama 560 kB duomenų, gaunama 360 kB duomenų; iOS platformoje veikiančios programėlės atveju vidutiniškai išsiunčiama 1,1 MB duomenų, gaunama –176 kB duomenų. Manoma, kad šie duomenų mainų dydžių skirtumai išryškėja dėl „Android“ ir „iOS“ platformos naudojamų skirtingų duomenų glaudos mechanizmų.
NKSC pažymi, kad didžiausią susirūpinimą kelia programėlės naudojimo taisyklės, kuriomis remiantis vartotojas turi sutikti neatlygintinai suteikti „FaceApp“ prieigą prie aplikacijos aplinkoje pasiekiamų duomenų – leisti „FaceApp“ juos naudoti, dauginti, modifikuoti, pritaikyti, skelbti, versti, kurti išvestinius kūrinius, platinti, viešai naudoti visais žinomais (ar ateityje sukurtais) formatais ir kanalais. NKSC pažymi, kad vertinant tai, jog programėlė sukurta Rusijos programinės įrangos gamintojo, šie reikalavimai sustiprina neproporcingumo įspūdį tarp aplikacijos teikiamų paslaugų profilio ir vartotojo patiriamų asmeninių kaštų.
Galimi pavojai
Visgi informacija apie galbūt netinkamą ir pavojingą programėlės veikimo schemą vartotojų nenaudoti ar nesisiųsti programėlės neįtikina, nes aplikaciją į savo išmaniuosius parsisiunčia vis nauji, o galbūt ir anksčiau ją bandę vartotojai. Rodos, apie programėlę tiek daug kalbama, tiek daug perspėjimų platinama. Gali būti, kad vartotojams nėra aišku, kokį neigiamą poveikį programėlė gali padaryti būtent jiems asmeniškai. Faktas, kad nuotrauka apdorojama ne telefone, o kažkokiame serveryje, juk labai negąsdina. O turėtų, nes specialistai paaiškina, kad nuotraukų apdirbimas nutolusiuose serveriuose leidžia jas kaupti neribotą laiką, o vartotojai įsirašydami programėlę su tuo sutinka. Galima sakyti, kas iš tų nuotraukų – tegul kaupia. Mokslininkai mano kitaip. Anot jų, technologijoms sparčiai populiarėjant, veidas yra viena iš žmogaus atpažinimo priemonių. Pavyzdžiui, jau dabar kai kurie telefonai yra atrakinami atpažįstant savininko veidą. Niekas nežino, kur šį metodą naudosime po 10, 20 metų. Taigi „FaceApp“, turėdama duomenų bazę su bemaž pusės planetos žmonių veidais, turės galimybę prieiti prie galbūt tiems asmenims priklausančių duomenų, juos matyti, naudoti ar pan.
Viskas tik prielaidos
Tiesa, svarbu paminėti, kad tai tėra hipotezė. Niekas nežino, kaip viskas klosis toliau. Galbūt programėlės serverius kas nors sunaikins, o galbūt veido atpažinimo technologija taip sparčiai neišplis ir plačiai naudojama nebus. Juk tuomet kiekvienas, kuris turi žmogaus nuotrauką, galėtų prieiti ar disponuoti jam priklausančiais duomenimis. Kita vertus, galbūt nereikėtų aptarinėti ir analizuoti vien „FaceApp“ atvejo. Tiesa, ažiotažą programėlė sukėlė, dėmesį į programėlių naudojimo sąlygas atkreipti privertė, bet tai neturėtų tapti panacėja. Juk duomenų bazes su informacija apie žmonių veidus kaupia viešojo saugumo kameros gatvėse, oro uostuose, prekybos centruose. Nejau ir šie duomenys kada nors gali būti panaudoti prieš mus?
Užmigti ant laurų nereikėtų
Vis dėlto atsipalaiduoti nereikėtų. Siekiant užtikrinti mobiliųjų įrenginių naudotojų saugumą, NKSC nuolatos primena atkreipti dėmesį, iš kur siunčiatės programėlę. Centras pirmiausia pataria įsitikinti, kad aplikacija siunčiama iš oficialios programėlių parduotuvės. Patariama vengti programėlių iš trečiųjų šalių, nediegti į savo įrenginius piratinių („nulaužtų“) aplikacijų kopijų – jose dažniausiai būna įskiepytos kenkėjiškos funkcijos. NKSC pataria būti atsargiems su nuorodomis į programėles, kurias gaunate e. paštu ar trumposiomis teksto žinutėmis, – jos gali apgaule priversti jus įdiegti trečiosios šalies ar nežinomų šaltinių programėles.
NKSC taip pat pataria atnaujinti visas savo programėles bei operacinę sistemą. Kai įmanoma, įjungti automatinį programėlių atnaujinimą. Tai padės išvengti rizikų dėl pasenusių, pažeidžiamų aplikacijų versijų. NKSC atkreipia dėmesį nemodifikuoti savo operacinės sistemos, siekiant išgauti daugiau telefono galimybių – tai panaikintų esamas telefono apsaugas ir padidintų kenkėjiškų programų keliamas rizikas. Taip pat tai gali pažeisti įrenginio garantinio aptarnavimo sąlygas. Patariama susipažinti ir su programėlės leidimais – patikrinti, kokius duomenis aplikacija gali pasiekti ir ar ji gali dalytis vartotojo informacija su trečiaisiais asmenimis. NKSC pataria įvertinti, ar savo funkcijai atlikti nurodyti leidimai nėra pertekliniai.