V dnešní době se čím dál více řeší otázka soukromí a soukromých dat, zejména pokud jde o odesílání na vzdálené servery. Někdy o této skutečnosti není uživatel informován a ten si může myslet, že se nikde nevedou o něm záznamy, případně nedochází k uchovávání dat. Nyní zde máme aplikaci Voilà AI Artist, která sice nic neporušuje, ale vznikají bezpečnostní otázky nad jejím fungováním.
Voilà AI Artist
Hlavním cílem Voilà AI Artist je vytvoření malby na základe fotografie s obličejem. Zde opět lákají vývojáři na použití umělé inteligence k vytvoření dobré výsledku. Bohužel aplikace jako taková nic ve své podstatě neprovádí. Jejím cílem je pouze detekování obličeje na fotografii, přičemž vše podstatné se odehraje na vzdálených serverech.
„Většina uživatelů předpokládá, že aplikace Voilà AI Artist zpracovává fotky přímo v telefonu, ve skutečnosti obrázky obličejů odesílá ke zpracování na servery vývojářů. Každou fotografii je navíc možné spojit pomocí identifikačních údajů s konkrétní instalací, což je sice uvedeno v zásadách ochrany osobních údajů, ale otevírá to možnost zneužití, ať už samotnou společností, která za aplikací stojí, nebo třetí stranou. Pokud by například došlo k hackerskému útoku na vývojáře, mohli by útočníci získat obrovskou databázi tváří. Považujeme za důležité, aby si uživatelé uvědomovali rizika spojená s odesíláním obsahu na vzdálené servery. V případě úniku dat nebo hackerského útoku by se mohli fotografie jejich tváře nebo tváře jejich přátel dostat do nepovolaných rukou,“ říká Petr Kadrmas, Security Engineer Eastern Europe v kyberbezpečnostní společnosti Check Point Software Technologies.
Veškeré fotografie jsou tak odeslány na servery, přičemž každý uživatel má vygenerovaný identifikační řetězec z Google Play. Ten je spojen s jeho fotografiemi. Komunikace mezi aplikací a servery probíhá skrze zabezpečený protokol HTTPS. Problém je zde ale se samotnou identifikací. Kyberbezpečnostní společnosti Check Point Software Technologies varuje před potenciální hrozbou.
Zdroj: Wemagine.AI
Pakliže by došlo k hacknutí serverů, útočníci by získali přístup k obrovské databázi obličejů a identifikačních údajů. To jde na současném trhu zneužít. Aplikace jako taková má sídlo ve Velké Británii a zatím zde není náznak zásadní bezpečnostní hrozby, ale je zde potenciál k zneužití.
Výzkumný tým k aplikaci také poznamenal:
- Aplikace byla vytvořena legitimní společností registrovanou ve Spojeném království.
- Co se oprávnění týče, aplikace využívá pouze nezbytná práva potřebná k provozu.
- Aplikace ověřuje, zda obrázky obsahují nějaký obličej, a teprve po tom je odesílá na server ke zpracování.
- Veškerá komunikace se serverem probíhá pomocí protokolu HTTPS, takže provoz je šifrován.
- Aplikace obsahuje jedinečné identifikační číslo vygenerované službou Google Play, takže by v případě hacku mohli útočníci spojit obličeje s konkrétními instalacemi.
Navíc v Obchodě Play není v informacích o aplikaci jakákoliv zmínka o odesílání snímků na vzdálené servery. Uživatel tak může aplikaci používat bez vědomí, že jeho soukromé fotografie jsou ve skutečnosti zpracovávány a uchovávány na vzdálených serverech.
Zdroj: Tisková zpráva