Is de privacy van gebruikers in gevaar bij de populaire FaceApp?

Privacy De populaire FaceApp zou een gevaar zijn voor de privacy van gebruikers, gingen de geruchten deze week. De Russische ontwikkelaar van de app ontkent.

De populaire FaceApp, waarmee je personen op foto’s kan verouderen, zou de privacy van gebruikers in gevaar brengen.
De populaire FaceApp, waarmee je personen op foto’s kan verouderen, zou de privacy van gebruikers in gevaar brengen. Foto Kirill Koedrjavtsev

Foto’s gemaakt met de smartphoneapp FaceApp gingen deze week voor de tweede keer sinds 2017 viral. Duizenden mensen gebruikten de applicatie, ontwikkeld door een softwarebedrijf uit Sint-Petersburg, om foto’s van zichzelf en anderen zo te laten bewerken dat de personen op de foto’s er ouder uitzien. Het resultaat wordt op sociale media massaal gedeeld met de hashtag #faceappchallenge. Wie wil niet weten hoe hij of zij er over vijftig jaar uitziet?

Helaas lijkt FaceApp - volgens Google meer dan honderd miljoen keer geïnstalleerd - niet zo onschuldig. Online circuleerde sinds maandag een gerucht dat de app onmiddellijk de fotobibliotheek van gebruikers leeg zou trekken. En dan gingen de gegevens ook nog eens naar servers in Rusland.

Daar kwam bij dat FaceApp’s eigen gebruiksvoorwaarden geen vertrouwen wekken. Volgens die regels mogen data gedeeld worden met andere bedrijven (‘affiliates’), na verkoop van FaceApp mag de nieuwe eigenaar de verzamelde data overnemen. De Amerikaanse senator Chuck Schumer riep de toezichthouder van dat land en de FBI op onderzoek te doen naar de Russische app. FaceApp is volgens hem „een mogelijk risico voor de nationale veiligheid en de privacy van miljoenen inwoners van de VS”.

Maar is de app echt zo gevaarlijk?

FaceApp-directeur Jaroslav Gontsjarov zegt dat alle verhalen niet kloppen. Volgens hem worden data niet gedeeld of verkocht. Afbeeldingen gaan slechts tijdelijk naar servers van FaceApp, zodat ze sneller bewerkt kunnen worden. „De meeste afbeeldingen worden binnen 48 uur na het uploaden weer van onze servers verwijderd.” Hoewel de ontwikkelaars in Sint-Petersburg zitten, worden gebruikersdata niet naar Rusland gestuurd, zegt Gontsjarov. Zijn verklaring is echter in tegenspraak met de voorwaarden van FaceApp zelf. Gontsjarov mailt daarover: „We zijn van plan verbeteringen door te voeren, zodat we zulke misverstanden in de toekomst kunnen vermijden.”

Lees ook: Ook als je niet op Facebook zit, verzamelt het jouw data via apps

Geen massale verzending

Een onafhankelijke analyse door de Franse hacker Baptiste Robert bevestigt in ieder geval dat FaceApp niet massaal foto’s verstuurt. Alleen de foto die de gebruiker uitkiest om te laten bewerken gaat naar de servers van FaceApp. Die staan niet in Rusland, maar in de Verenigde Staten. Daarnaast gaan ook andere data, over de gebruiker zelf, naar de applicatie, maar dat gebeurt vaker. Robert: „De dataconsumptie van FaceApp is best redelijk. Snapchat doet precies hetzelfde met foto’s. Sommige apps doen veel meer.”

Maar burgerrechtenorganisatie Bits of Freedom is sceptisch. De app lijkt specifiek ontworpen om zoveel mogelijk afbeeldingen van gezichten te verzamelen. Die kunnen dan ingezet worden om bijvoorbeeld gezichtsherkenningssoftware te trainen, denkt de internetrechtenorganisatie. „We zien dat terug in het privacyreglement. Ook is de applicatie gratis, zodat meer mensen het gaan gebruiken.”

Het is ook opvallend dat bewerking van de foto’s op servers elders plaatsvindt, meent Bits of Freedom. „Dat is een keuze. Foto’s hadden gemakkelijk op de telefoon van de gebruiker verwerkt kunnen worden.” Het versturen van een portretfoto, zeker in combinatie met andere gegevens, is onverstandig. „Het verbaasde ons dat zoveel burgers het deden.”

We worden om de oren geslagen met nieuwe voorwaarden vanwege de nieuwe privacywet. Wat verandert er concreet?

Vage reglementen

De privacybezwaren worden deels gevoed door moeilijk te doorgronden gebruiksvoorwaarden. Ook dat is niet ongebruikelijk, zegt Baptiste Robert. „Ze hebben allemaal zulke vage gebruiksvoorwaarden.” Het is voor ontwikkelaars makkelijker vooraf meer rechten te vragen. Dat resulteert in privacyregels met brede definities. Gebruikers maakt het in de regel niet zoveel uit.

De privacybewuste consument heeft weinig aan een kritische lezing van de gebruiksvoorwaarden, zegt Serge Egelman, informatiewetenschapper aan de University of California in Berkeley. Hij en zijn onderzoeksgroep doen al jaren onderzoek naar privacy en smartphoneapplicaties. „Niemand verwacht dat de gebruiksvoorwaarden gelezen worden. Het hoort niet gebruikt te worden door consumenten.”

Gebruikers van Android, het meest gebruikte besturingssysteem ter wereld, hoeven sinds 2015 niet meer voor installatie de gebruiksvoorwaarden van applicaties te accepteren. Android geeft gebruikers nu zelf de controle over hun data. Wil een app de locatie van de gebruiker weten? Prima, maar dan moet hij of zij wel eerst toestemming verlenen. „Een grote verbetering”, zegt Egelman. „Mensen klikten eerst gewoon door. Ze begrepen het niet.”

Alleen: dat systeem waarbij applicaties eerst toestemming moeten krijgen voor ze gevoelige gegevens mogen gebruiken, werkt niet altijd, bleek uit recent onderzoek van Egelman en collega’s van het International Computer Science Institute (ICSI). Hun onderzoek was vergelijkbaar met dat van de Fransman Robert, maar dan op veel grotere schaal en geautomatiseerd. Op Nexus-telefoons bekeken de onderzoekers uiteindelijk meer dan 88.000 populaire Android-applicaties. 1.325 apps bleken via omwegen toch toegang verkregen te hebben tot gegevens die eigenlijk achter slot en grendel lagen. Dat ging niet om e-mailadressen, simkaartnummers of telefoonnummers, maar om meer obscure gegevens, als MAC-adressen of IMEI-nummers. Zulke permanente identificatienummers willen adverteerders graag hebben. Die gebruiken ze als kapstok om andere verzamelde gegevens aan op te hangen en zo gerichter op individuele consumenten te adverteren.

Gebrek aan context

De resultaten van het onderzoek staan online. In een speciale database kunnen consumenten opzoeken welke data populaire Android-applicaties daadwerkelijk gebruiken en delen. Egelman: „Het grote probleem bij het interpreteren van privacyrisico’s door consumenten is het gebrek aan context. Dat hopen we op te lossen door te laten zien waar de data heen gaan.”

Android belooft dit najaar enkele omwegen te dichten in de nieuwe versie van het besturingssysteem, Android Q. Egelman: „Consumenten moeten dan wel kunnen investeren in een nieuwe telefoon. Privacy wordt behandeld als luxegoed.” Handhaving kan echter niet alleen aan Google overgelaten worden. „Google heeft daar geen belang bij. Hoe meer apps ze in de appstore hebben, hoe meer advertenties ze verkopen, hoe meer ze profiteren.” Egelman is cynisch. „Dit blijft gebeuren zolang we geen strengere privacywetten hebben.”