Centrum voor Cybersecurity waarschuwt voor FaceApp, is die populaire verouderings-app wel onschuldig?

De kans is groot dat u de afgelopen dagen op Facebook, Instagram en Twitter “foto’s” zag voorbijkomen waarop uw vrienden er plots heel oud of weer jong uitzien. Die grappige beelden zijn gemaakt met FaceApp. 

FaceApp is een smartphone-app van Russische makelij die artificiële intelligentie gebruikt om op basis van een foto akelig echt uitziende beelden te maken waarop de gebruiker er plots tientallen jaren ouder of jonger uitziet. Of deze simulaties ook kloppen, is nog maar de vraag. Maar de beelden zien er alvast belachelijk realistisch uit.

Het Centrum voor Cybersecurity, de overheidsdienst die instaat voor de veiligheid van het internet in ons land, waarschuwt nu voor de app, onder meer omdat die in Rusland is ontwikkeld.

"De app is blijkbaar niet in het Westen ontwikkeld", zegt Miguel De Bruycker van de dienst aan VRT NWS. "De regio waar dat is gebeurd is niet die met de minste cybercriminaliteit."

"Je moet natuurlijk altijd voorzichtig blijven met wat je deelt op het internet aan persoonlijke gegevens. Hoe meer informatie je over jezelf deelt, hoe meer criminelen die informatie kunnen verzamelen om dan gericht phishingmails naar je te kunnen sturen."

FaceApp bestaat al een tweetal jaar en is het afgelopen weekend vanuit het Midden-Oosten plots weer overgewaaid naar het Westen. Eerst zetten wat gewone stervelingen FaceApp-beelden op hun Instagram-profiel.

Het begon plots hard te gaan toen Arabische sterren en influencers ook FaceApp-foto’s van zichzelf begonnen te delen. Daarna volgden Westerse beroemdheden, BV’s zoals Peter Van de Veire en Ruben Van Gucht, en uiteindelijk ook ontelbare andere gebruikers.

FaceApp is zowel beschikbaar voor iPhones als voor Android-toestellen en is helemaal niet nieuw. In 2017 ging de app voor het eerst viraal, maar sindsdien is de software die de beelden maakt op basis van een bestaande foto veel slimmer geworden en zien de beelden die de computeralgoritmes maken er veel realistischer uit. 

De app kan ook méér dan mensen er ouder of jonger te laten uitzien: je kan ermee een glimlach op gezichten toveren, een vrouw er laten uitzien als een man en vice versa, en mensen er aantrekkelijker laten uitzien.

Al die fantastische functies lijken op het eerste gezicht vooral grappig, maar het gebruik van de app roept ook vragen op, onder andere op het vlak van privacy. In Saudi-Arabië heeft de Cybersecurity-commissie dit weekend de bevolking al gewaarschuwd voor potentiële risico's. Nu doet het Centrum voor Cybersecurity in ons land dat dus ook.

Wie bij het installeren van de app de kleine lettertjes leest, zal namelijk zien dat FaceApp allerlei informatie over zijn gebruikers opslaat, zoals de beelden van je gezicht, je locatie, ip-adres (het unieke identificatienummer van je internetverbinding) en waar je precies op klikt binnen de app. 

“Wat bij het lezen van de privacy policy meteen opvalt, is dat die dateert van 20 januari 2017, terwijl de Europese GDPR-wetgeving pas op 25 mei 2018 in werking is getreden”, merkt Maarten Verhaghe, privacy-expert bij VDV advocaten, op.

Dat is ook aan de tekst te zien: op verschillende plaatsen strookt die niet met de strenge Europese regels voor de verwerking van persoonsgegevens.  

Wat Verhaghe vooral stoort is dat FaceApp in de voorwaarden focust op het bijhouden van persoonsgegevens, surfgedrag, voorkeuren en dies meer, terwijl het bedrijf amper met een woord rept over het feit dat er foto’s verwerkt en opgeslagen worden.

Voor Verhaghe is het duidelijk: “Er is een serieuze discrepantie tussen het doel van de app (verouderings- of verjongings-foto’s maken) en de gegevens die door de app verzameld worden. Het is duidelijk dat hier vooral een volledige reclamemachine achter zit.”

Jurist Matthias Dobbelaere-Welvaert, gespecialiseerd in privacywetgeving, is er ook niet gerust op en stoort er zich aan dat FaceApp alle informatie kan delen met andere bedrijven, zonder dat uitgelegd wordt wat er dan met die data kan gebeuren. 

Maarten Verhaghe trekt het verder open en ziet dat FaceApp de verzamelde data deelt met landen die een veel minder strenge privacywetgeving hanteren dan de EU-lidstaten, zoals Rusland, dat een bedenkelijke reputatie heeft op dat vlak.

De Bruycker is het daarmee eens. "FaceApp is duidelijk niet ontwikkeld in het Westen, maar in een regio waar veel cybercriminaliteit voorkomt. Vooraleer je een app installeert, kijk goed uit welke regio die app komt. De kans is reëel dat criminele organisaties de verzamelde gegevens gebruiken om phishingmails te versturen." (Bij phishingmails proberen criminele organisaties persoonlijke gegevens te ontfutselen door onschuldige mails te sturen, red.)

Al die informatie kan ook gedeeld worden met andere bedrijven. En als Wireless Lab, het Russische bedrijf achter de app, FaceApp verkoopt, komt de verzamelde informatie in handen van de overnemer. Je blijft er wel altijd eigenaar van. 

Het is echter niet denkbeeldig dat de app op termijn aan een groot bedrijf verkocht wordt, want grote jongens als Facebook of de Russische tegenhanger VK zijn altijd geïnteresseerd om populaire apps over te kopen en te integreren in hun bestaande platformen - denk maar aan Instagram en WhatsApp.

Het grootste gevaar zit echter bij hackers, zegt Inti De Ceukelaire. Als ethisch hacker gaat hij zelf op zoek naar beveiligingsfouten in de informaticasystemen van grote bedrijven, om ze beter te beveiligen tegen hackers die slechte bedoelingen hebben. 

Kleine bedrijven, zoals het bedrijf achter FaceApp, zijn vaak kwetsbaarder voor hackers dan grote bedrijven, stelt De Ceukelaire. “Het zijn meestal jonge start-ups die nog geen goed verdienmodel hebben en vaak niet veel geld hebben om hun app goed te beveiligen.”

In het geval van FaceApp waarschuwt De Ceukelaire voor hackers die in opdracht werken van een of andere overheid. Voor veiligheidsdiensten is de database van FaceApp namelijk een potentiële goudmijn. 

Zulke diensten zouden met de massa foto’s die in de databank zitten, een geavanceerd systeem van gezichtsherkenning kunnen uitbouwen. “Als je een databank hebt met een paar miljoen gezichten en heel duidelijke foto’s, zoals hier het geval is, is dat razend interessant omdat je dat kan gaan matchen met ander beeldmateriaal”, legt De Ceukelaire uit.

Op die manier zouden ze met gezichtsherkenning miljoenen mensen kunnen identificeren die op allerlei bewakingsbeelden staan.

Bekijk het verslag uit "Het Journaal" hier: