Is FaceApp veilig? Na veel paranoia de feiten op een rij

Apple Raymon Mens 18 jul 2019
Leestijd: 5 minuten

FaceApp, die app die je jonger of ouder laat lijken en andere trucs zoals het wisselen van gender met je gezicht uithaalt, is weer een hype. Dat komt omdat een aantal Amerikaanse celebrities foto’s van zichzelf die met de app bewerkt zijn hebben gedeeld. Er zijn ook zorgen over privacy en veiligheid. Is de app uit Rusland wel veilig?

De app verwerkt “extreem veel gegevens”, schreef de NOS. Dat werd over­genomen door veel sites. Ook De Tijd deed een duit in het zakje met een sensationele kop en 9to5Mac stookte het vuurtje op door tweets van enkele bezorgde ontwikkelaars onder elkaar te zetten. Dankbare vulling in komkommertijd of terechte zorgen?

Niet al je foto’s worden geüpload door FaceApp

Het grootste bezwaar is dat foto’s die je wil bewerken met FaceApp geüpload worden naar een server. Die server gebruikt kunstmatige intelligentie om je gezicht jonger, ouder of anders te laten lijken en stuurt het resultaat terug naar je telefoon. Dat komt omdat niet iedere telefoon een chip heeft die krachtig genoeg is om kunstmatige intelligentie op een foto los te laten. Dit uitbesteden aan een krachtige server in de cloud is een valide oplossing.

Een ontwikkelaar riep op Twitter dat FaceApp automatisch al je foto’s in je fotobibliotheek buitmaakt en in de cloud opslaat. Dat werd door een aantal sites overgenomen en leidde tot paranoia. Maar het klopt niet. De ontwikkelaar erkent dat inmiddels ook en moet door het stof. Alleen de foto die je selecteert om te bewerken wordt geüpload, geen andere foto’s. Een externe onderzoeker onderschrijf dat. De ontwikkelaar van de app licht inmiddels toe dat foto’s niet langer dan nodig op de servers van de app bewaard worden. Na 48 uur zijn ze weg.

  • Gebruikelijke manier van werken met servers in de cloud. Geen extreme zaken gedetecteerd. Niet al je foto’s worden geüpload. Alleen de foto die je zelf selecteert.
FaceApp maarten van Rossem
Klik/tap voor groter.

Communicatie met servers in Rusland?

Een ander bezwaar is dat de app Russisch is. Wordt je gezicht voor goed opgeslagen op Russische servers? Het antwoord blijkt nee. FaceApp maakt voor het verwerken van foto’s gebruik van servers bij Amazon en Google. Die staan op Brits of Amerikaans grondgebied.

Bij het openen van de app wordt gecommuniceerd met ‘hosts.faceapp.io’ dat bij Amazon in de cloud staat. Foto’s worden vervolgens door ‘tyrion.faceapp.io’ en ‘api.faceapp.io’ afgehandeld. Dat zijn servers bij Google. Het bedrijf achter de app, Wireless Lab OOO, komt uit Rusland. Communicatie met Russische servers hebben wij echter niet vast kunnen stellen.

  • Russische ontwikkelaar, maar geen communicatie met servers in Rusland. Alles bij Google of Amazon in de cloud.
Amazon serverpark
Klik/tap voor groter.

Privacybeleid: “Je geeft in feite je gezicht weg”

Het privacybeleid van FaceApp roept ook vaak vragen op en bevat een deel dat vrij eng lijkt. De app wil de rechten om de foto’s die je bewerkt altijd en overal te kunnen gebruiken. Een expert die de NOS sprak, zegt dat je in feite je gezicht weggeeft.

You grant FaceApp a perpetual, irrevocable, nonexclusive, royalty-free, worldwide, fully-paid, transferable sub-licensable license to use, reproduce, modify, adapt, publish, translate, create derivative works from, distribute, publicly perform and display your User Content and any name, username or likeness provided in connection with your User Content in all media formats and channels now known or later developed, without compensation to you. When you post or otherwise share User Content on or through our Services, you understand that your User Content and any associated information (such as your [username], location or profile photo) will be visible to the public.

Dit is echter niet zo’n gekke passage. Het privacybeleid van Instagram en Facebook bevat bijvoorbeeld een vergelijkbare passage. Het recht om je foto’s te gebruiken komt voort omdat apps soms echte beelden van gebruikers in advertentiecampagnes verwerken, of widgets hebben met ‘mensen die je mogelijk kent’ met daarbij hun foto’s tonen. Je geeft je gezicht met FaceApp niet meer weg dan dat je aan Facebook, Instagram of Snapchat doet.

You hereby grant to us a non-exclusive, royalty-free, transferable, sub-licensable, worldwide license to host, use, distribute, modify, run, copy, publicly perform or display, translate, and create derivative works of your content (consistent with your privacy and application settings). You can end this license anytime by deleting your content or account.

  • Gebruikelijke taal in privacybeleid en voorwaarden. Gebruik van foto’s vergelijkbaar met Facebook, Instagram en Snapchat.
faceapp 002
Klik/tap voor groter.

Verwerkt FaceApp extreem veel gegevens?

Ten slotte is er nog de claim dat FaceApp extreem veel gegevens verwerkt. Technisch gezien communiceert de app met Facebook, Google Doubleclick, Firebase, Crashlytics, en een dienst genaamd AccountKit. Dit is een gebruikelijke hoeveelheid externe verbindingen voor een app. Het gebruik is technisch ook goed te verklaren:

  • Facebook: inloggen met Facebook om foto’s die je daar hebt opgeslagen te kunnen gebruiken.
  • Google Doubleclick: Tonen van advertenties.
  • Firebase: Dienst van Google met tools voor ontwikkelaars.
  • Crashlytics: Dienst die error logs doorstuurt wanneer de app crasht.
  • AccountKit: Dienst die een inlogfunctie biedt, zodat ontwikkelaars die niet zelf hoeven te bouwen.

Wij hebben apps gezien die gegevens naar veel meer externe partijen sturen. Er zijn in principe twee partijen die gegevens over de gebruiker die de app gebruikt krijgen: Facebook en Google Doubleclick. Facebook is alom vertegenwoordigd en ook functioneel geïntegreerd. Google Doubleclick is ook op veel sites en apps die gebruik maken van advertenties via Google actief.

In de privacy policy van FaceApp staat dat geen persoonlijke gegevens gedeeld worden met derden. Er wordt wel verwezen naar partners met wie bepaalde gegevens anoniem gedeeld worden. Dit slaat vrijwel zeker op Google’s Doubleclick, dat toont advertenties op basis van een persoonlijk profiel dat is opgebouwd. Dit is alomvertegenwoordigd op het internet en niet iedereen kan het waarderen, daarom zijn er adblockers en plug-ins die tracking tegengaan. Het is vergelijkbaar met het gebruik van cookies en valt geenszins onder de noemer extreem.

  • FaceApp deelt de gebruikelijke hoeveelheid gegevens die nodig is voor het gebruik van sociale netwerken en het tonen van advertenties. Niet extreem vergeleken met andere apps en websites.
faceapp connecties
Met deze externe servers communiceert de app – Klik/tap voor groter.

Conclusie…

FaceApp stuurt niet ongevraagd alle foto’s die op je telefoon staan naar servers in Rusland en er zijn technisch gezien geen aanwijzingen dat er extreme hoeveelheden data wordt verzameld. De geïntegreerde partners zijn de gebruikelijke partijen zoals Facebook, Amazon en Google. Dat de ontwikkelaar uit Rusland komt, hoeft niet te zeggen dat de intenties meteen slecht zijn. Technisch gebeurden geen gekke zaken.

Foutje gezien? Mail ons. Wij zijn je dankbaar.

Het beste wat tech en culture te bieden heeft 🚀

De laatste ontwikkelingen iedere vrijdag in je mailbox? WANT houdt je op de hoogte!

Onderwerpen

Relevante artikelen