Головна Блог Сидячи на карантині, не втрачаймо критичного мислення
Сидячи на карантині, не втрачаймо критичного мислення

Сидячи на карантині, не втрачаймо критичного мислення

Сидячи на карантині, не втрачаймо критичного мислення.

Розумію, що декому психологічно важко працювати з дому, але ж треба залишатися у межах здорового глузду.

Це я до того, що останнім часом бачу публікації нібито етнічної належності за з результатами сканування обличчя додатком Gradient.
Тож давайте разом пройдемо шляхом людини, яка мислить критично.

По-перше, перед тим, як завантажити додаток (звісно, з офіційного магазину, еге ж?), подумаємо, а чи дійсно мені це потрібно? Сумно і хочеться розважитися. Ну поки що приймаємо такий аргумент.

По-друге, якщо додаток просить доступу до камери смартфону – це логічно, оскільки це прямо пов’язано з його функціональністю. Але якщо просить доступ до контактів, мікрофону – треба замислитися: а навіщо це додатку? Якщо потреба не очевидна – не давати прав доступу.

По-третє, суть популярності додатку у тому, щоб відсканувати обличчя користувача та надати процент етнічної належності. Але давайте подумаємо – а яким чином має працювати така бізнес-модель? Теоретично має бути так: додаток сканує обличчя камерою телефону та відправляє дані сканування на якийсь сервер, де зберігається величезна база даних мільйонів людей Світу з еталонними (!) рисами належності до певних національностей. На сервері наші дані співставляються з еталонними і користувачу надається результат.

І ось тут у критично-мислячої людини повинні початися вибухові реакції у головному мозку.

Звідки взято «еталонні» ознаки належності до певної національності? А чи точно вони еталонні? А чи взагалі можливо за 6-7 мільйонів років існування людства та безперервного процесу перемішання рас, визначити якісь однозначні критерії віднесення рис обличчя до певної національності?
Ну ок, це нібито розважальний додаток і ніхто не запевняє в еталонності, нехай.

Але ж результати сканування конкретного користувача, з конкретним акаунтом, до якого прив’язано FaceID – передаються невідомо кому, невідомо яким чином (в плані захищеності каналу передачі даних). Не відомо яким чином власниками додатку обробляються і кому потім передаються. І для яких цілей, до речі. Може, продадуть кіберзлочинцям, а може – спецслужбам. А може, розробники і самі є спецслужбами?

Тобто власник додатку може знати геть усе про власника акаунту і його точне обличчя. Не просто фотографію (де можна скривити рота, підняти брови чи якось інакше змінити зовнішність), а максимально точне 3D-зображення. До того ж деякі додатки отримують права доступу до камери, телефонної книжки, фотографій не питаючи дозволу користувача. А деякі питають, але все одно отримують доступ.

І що ж виходить? Теоретично цілком може бути, що не дуже законослухняний розробник/власник додатку має реальну можливість отримати повну інформацію про конкретну фізичну особу по ту сторону екрану смартфону – ім’я-прізвище власника смартфону (з телефонної книги), імена та контакти родичів, друзів, колег (телефонна книга+фото+emailклієнт), в яких соцмережах та під якими ніками зареєстрований (усе це є у смартфоні) та ще й точний 3D-скан обличчя. Якщо у власників сучасних моделей iPhone останнім (і важливим) кордоном захисту є ідентифікація по FaceID, і ваше обличчя теоретично може бути відоме лише в Apple, то користуючись якимись там Gradient або FaceApp, ви самостійно, задля тимчасової розваги, віддаєте ключ від вашого сейфу невідомим особам, з невідомою репутацією.
А ще знаєте яка вишенька на цьому тортику?

Розробили додаток Gradient росіяни. Ось тут можна почитати (російський ресурс): https://tinyurl.com/sany95z

Так само росіяни розробили FaceApp: додаток, який на підставі скану обличчя користувача моделює як воно виглядатиме у старості.
Соупадінійє? Хмм.

Чи може, хтось вважає, що «умовно-чесні» росіяни, які виїхали у пошуках кращої долі на Захід, перестали любити (віддалено) бєрьозкі та пушкінадостоєвського і пишатися расією-матушкойю на відстані? Чи може, розробники вигнали за поріг агентів гру-фсб з валізою грошей, не злякавшись прикладу «новічка», розправ над Березовським та Литвиненко? При тому, що гру-фсб цілком могло відпочатку таємно профінансувати розробку додатку, це в них запростяк. Нас ще чекатимуть гучні новини про Дурова та його Телеграм.

У середовищі професійних кібербезпечників давно відомо, що абсолютно безпечних додатків не існує: лише більше безпечні та менш безпечні. Деякі розробники витрачають купу часу та ресурсів на безпеку додатку, а деякі – взагалі не витрачають. Хто з них хто – взнати дуже важко, оскільки і ті, і інші не дуже розказують про вжиті заходи з підвищення безпеки додатку. Виключення: ProtonVPN, https://tinyurl.com/qvgqudg

Саме тому особисто я намагаюся уникати встановлювати собі будь-які додатки без гострої потреби. А якщо вже якийсь встановив – усвідомлювати та приймати потенційні ризики.

Але ж я кібербезпекою займаюся 20 років і визнаю, що маю професійну трохи параноїдальну деформацію сприйняття реальності.

Саме тому усе вищевикладене стосовно всяких градієнтів та фейсапів здається мені простим та логічним. Але бачу, що не всі усвідомлюють – наскільки небезпечно віддавати свої дуже персональні дані невідомим особам. Чомусь дані кредитної карти мало хто віддасть, а ось скан обличчя – запросто.

Комусь мої висновки можуть здатися перебільшеними та конспірологічними, а-ля «та_кому_я_потрібен», «це_ж_для_простих_людей».
Але якщо у Вас немає параної – це не значить, що за Вами не слідкують.

Костянтин Корсун

Голова Ради Громадської організації Українська група інформаційної безпеки, директор компанії з кібербезпеки Berezha Security.