Eine neue Funktion der App „FaceApp“, mit der man sich optisch älter machen kann, sorgt für viele Diskussionen rund um Datensicherheit.
„FaceApp“ gibt es seit 2017 und es ist in den Grundfunktionen kostenlos, gegen eine jährliche oder einmalige Gebühr gibt es noch weitere Funktionen, ein Portraitfoto jünger zu machen, mit Makeup, und anderen Frisuren zu versehen oder bestimmte Filter zu verwenden. Erstaunlich daran ist, dass man beispielsweise bei der Alterungsfunktion nur noch an Details erkennen kann, dass es sich um ein manipuliertes Bild handelt.
Die Kernpunkte dieses Artikels
FaceApp
Was nun allerdings so spaßig klingt, wirft in vielen Medien Fragen auf, die wir genauer beleuchten wollen:
- Wo wandern die Daten hin?
- Was geschieht mit den Bildern?
- Wie groß ist das Sicherheitsrisiko?
- Ist die App ein „Schnüffeltool“?
Im Folgenden werden wir uns Schritt für Schritt mit den Fakten und den Behauptungen auseinandersetzen, um ein Gesamtbild zu erhalten.
Der Entwickler
Wie in den Nutzungsbedingungen zu lesen ist, wurde die App von „Wireless Lab OOO“ entwickelt, deren Sitz ist in Sankt Petersburg, Russland.
Wohin fließen die Daten? Und welche Daten überhaupt?
An dieser Stelle tappsen schon viele, insbesonders amerikanische Medien in die Falle, dies als Warnung auszurufen, da bei einer App, die aus Russland kommt, nur Ausspionierung der Daten von US-Bürgern in Frage kommen kann. Dies führt mittlerweile so weit, dass der US-Senator Chuck Schumer verlangt, dass sich das FBI diese App genauer anschauen solle, da diese russische App „unwiderruflich und uneingeschränkt Zugriff auf die persönlichen Fotos und Daten“ verlangt.
Doch wir müssen gar nicht erst darauf warten, ob und wann das FBI sich die App genauer anschaut, da diverse Sicherheitsexperten die App und den Datenfluß bereits genau betrachtet haben.
So berichtet die Expertin Jane Manchun Wong, die sich hauptsächlich damit beschäftigt, diverse Apps auf Sicherheit, Datenschutz und neue, noch versteckte Funktionen zu untersuchen, dass sie nichts Verdächtiges in der App finden konnte. Das Bild, welches bearbeitet werden soll, wird auf einen AWS-Server hochgeladen (AWS = Amazon Web Services), eine weitere Autorisierung wie beispielsweise eine namentliche Registrierung ist nicht nötig.
Weitere gesendete Daten umfassen nur Nutzerinteraktionen mit der App, aber keine weiteren Daten, mit denen eine Person eindeutig identifiziert werden könnte.
I am not seeing much fishy in FaceApp
Photos are uploaded to FaceApp’s servers on AWS w/ authorization. Not much info is being sent to FaceApp’s servers other than user metrics (e.g. ui interactions)
I just wish there’s an option for users to delete their photos from the server
— Jane Manchun Wong (@wongmjane) 17. Juli 2019
Was sie allerdings zurecht bemängelt: Nutzer haben keine Kontrolle darüber, wie lange ihre Fotos auf den Servern gespeichert bleiben.
Etwas genauer hat sich ein französischer Security-Experte mit dem Pseudonym „Elliot Alderson“ (sein echter Name ist Robert Baptiste) angeschaut. Auf Twitter veröffentlichte er die Ergebnisse seiner Recherche. Demnach findet ein reger Datenaustausch zwischen der App und Firebase, einer Entwicklungs-Plattform für mobile und Webanwendungen, der Facebook SDK (Facebooks Schnittstelle für Apps) und Account Kit (ebenfalls eine von Facebook entwickelte Schnittstelle für eine schnelle Registrierung) statt.
[mk_ad]
Dieser Datenverkehr ist nachvollziehbar, da FaceApp beispielsweise ermöglicht, sich als Nutzer zu registrieren und Bilder vom eigenen Facebook-Account zur Verarbeitung zu wählen. Einen Registrierungszwang hat die App jedoch nicht.
Nun wird es aber interessant!
Interessanter wird es nun, wenn es darum geht, welche Daten mit den Amazon Cloud Servern ausgetauscht werden.
Von dort werden die Demobilder geladen, zudem bekommt das Smartphone eine ID zugewiesen, das Betriebssystem wird gecheckt. Auf die Server wird tatsächlich nur das zu bearbeitende Foto hochgeladen, nicht etwa sämtliche Fotos, wie manche Seiten behaupten!
When you modify a photo, they upload this photo, and only this one, to their server 5/n pic.twitter.com/9to38G8HWT
— Elliot Alderson (@fs0c131y) 16. Juli 2019
Warum muss die Berechnung auf fremden Servern stattfinden?
Moderne Handys mit entsprechender Rechenleistung und genug Speicher würden es tatsächlich auch schaffen, die Bilder lokal zu berechnen. Die Entscheidung, dies auf Amazon Cloud Servern berechnen zu lassen, hat eher wirtschaftliche Gründe:
- So können auch Nutzer mit schwächeren Smartphones die App nutzen = größere Verbreitung der App
- Die Entwickler wollen ihren Algorithmus schützen, da andere Entwickler die App sonst „auseinandernehmen“ und ihre eigene „Alterungs- und Verschönerungssoftware“ daraus basteln könnten
Wie werden die Daten genutzt?
Das Wahrscheinlichste, was man mit Portraitdaten machen kann, ist das Trainieren von Algorithmen zur Gesichtserkennung.
Sollte dies das Ziel von FaceApp sein, stünden sie damit allerdings nicht alleine da, sondern wären nur ein weiteres Unternehmen, das dies praktiziert. Beispielsweise berichtet „The Guardian„, dass Google 8 Millionen Profilbilder verwendete, um Gesichtserkennungsalgorithmen zu trainieren, zusätzlich 2.000 Youtube-Videos, die bei der „Mannequin-Challenge“ hochgeladen wurden. Facebook verwendete zum gleichen Zweck die Profilbilder von 10 Millionen Nutzern.
Was geschieht mit meinen Daten?
Dies ist ein sehr umstrittener Punkt in den AGB der App. Definitiv ist er auch nicht DSGVO-komform, aber werfen wir erst einmal einen Blick darauf.
Auf Deutsch übersetzt findet sich in Punkt 5 der „Terms of Use“:
Konkret bedeutet dies, dass die Fotos beispielsweise für die eigene Werbung genutzt werden dürfen. Es wird auch von einer Unterlizensierung gesprochen, was bedeutet, dass man FaceApp gestattet, die Fotos an andere Anbieter weiterzugeben, die diese dann nutzen dürfen. Theoretisch könnte das eigene Foto also irgendwann auf einer Plakatwand erscheinen, ohne dass man das Recht auf das eigene Bild einklagen könne.
[mk_ad]
Keine einzigartige Regelung
Wer nun glaubt, dass die Ersteller von FaceApp sich da einfach zuviel herausnehmen, sollte sich ein wenig umschauen, denn auch in dem beliebten Kurznachrichtendienst „Twitter“ findet sich eine solche Passage in den AGB:
Auch in den AGB von Facebook findet sich eine solche Passage:
Natürlich gibt es einen Unterschied!
Bei Facebook und Twitter handelt es sich um Dienste, bei denen man willentlich Bilder und Texte veröffentlicht, während man dies bei FaceApp ja vordergründig erst einmal für sich selbst macht, bevor man sich dafür oder dagegen entscheidet, ein Bild zu teilen.
So ist die umstrittene Passage zwar eine auch auf anderen Seiten verwendete Standardformulierung, hinterlässt aber bei einer App einen bitteren Beigeschmack, da es sich bei dieser ja nicht um ein soziales Netzwerk handelt.
Das Statement der Entwickler
Aufgrund der Vorwürfe veröffentlichten die Entwickler ein Statement, welches wir hier auf Deutsch übersetzt haben:
Wir erhalten viele Anfragen bezüglich unserer Datenschutzrichtlinien und möchten daher einige Punkte nennen, die die Grundlagen erläutern:
- FaceApp führt den größten Teil der Fotoverarbeitung in der Cloud durch. Wir laden nur ein Foto hoch, das von einem Benutzer zur Bearbeitung ausgewählt wurde. Wir übertragen niemals andere Bilder vom Telefon in die Cloud.
- Möglicherweise speichern wir ein hochgeladenes Foto in der Cloud. Der Hauptgrund dafür ist die Leistung und der Datenverkehr: Wir möchten sicherstellen, dass der Benutzer das Foto nicht bei jedem Bearbeitungsvorgang wiederholt hochlädt. Die meisten Bilder werden innerhalb von 48 Stunden nach dem Upload-Datum von unseren Servern gelöscht.
- Wir akzeptieren Anfragen von Benutzern, alle ihre Daten von unseren Servern zu entfernen. Unser Support-Team ist derzeit überlastet, aber diese Anfragen haben unsere Priorität. Für die schnellste Verarbeitung empfehlen wir, die Anfragen von der FaceApp Mobile App über „Einstellungen-> Support-> Fehler melden“ mit dem Wort „Datenschutz“ in der Betreffzeile zu senden. Dafür arbeiten wir an einer besseren Benutzeroberfläche.
- Alle FaceApp-Funktionen sind ohne Anmeldung verfügbar. Sie können sich nur über den Einstellungsbildschirm anmelden. Infolgedessen melden sich 99% der Benutzer nicht an. Daher haben wir keinen Zugriff auf Daten, die eine Person identifizieren könnten.
- Wir verkaufen keine Benutzerdaten und geben sie nicht an Dritte weiter.
- Obwohl sich das Kernteam für Forschung und Entwicklung in Russland befindet, werden die Benutzerdaten nicht nach Russland übertragen.
Darüber hinaus möchten wir eines der häufigsten Anliegen kommentieren: Alle Bilder aus der Galerie werden auf unsere Server hochgeladen, nachdem ein Benutzer Zugriff auf die Fotos gewährt hat. Das machen wir nicht. Wir laden nur ein Foto hoch, das zur Bearbeitung ausgewählt wurde. Sie können dies schnell mit einem der im Internet verfügbaren Netzwerk-Sniffing-Tools überprüfen.
Fassen wir zusammen
Mehrere Sicherheitsexperten untersuchten die App und konnten keine außergewöhnliche Datenströme feststellen.
Eine persönliche Zuordnung der Bilder zu Personen kann nicht stattfinden, wenn man sich nicht beispielsweise mit Facebook verknüpft.
Die Daten landen auch nicht in Russland, sondern auf Amazon Cloud Servern, welche zum größten Teil in den USA stehen (keiner in Russland).
Die AGB ist in bestimmten Punkten zwar nicht ungewöhnlich, aber zumindest fragwürdig.
[mk_ad]
Sollte ich die App nun lieber löschen?
Dies ist nun jedem selbst überlassen.
Facebook, Instagram, WhatsApp, Twitter und sehr viele Apps auf dem Smartphone sammeln bereits fleißig persönliche Daten und Bilder. Vielen Apps gibt man auch noch weit darüber hinaus gehende Rechte, wie beispielsweise die eindeutige ID des Smartphones, die Kartennutzung, die Mikrofonnutzung, die Erlaubnis, Anrufe und SMS verwalten zu können, oftmals ohne dass dies für die App überhaupt nötig ist.
FaceApp ist in dem Sinne auch nur eine weitere App, der man Daten gibt, in diesem Fall vordergründig Fotos. Bei einer Verknüpfung mit Facebook und Twitter wäre darüber hinaus auch noch möglich, die Bilder mit anderen Daten zu verknüpfen. So zumindest die theoretischen Möglichkeiten, allerdings gibt man alleine Facebook schon so viele Daten, Fotos und Videos, dass ein Selfie mit FaceApp eher ein Tropfen auf dem heißen Stein ist.
Man muss sich bewusst werden, dass jede App und jede Plattform theoretisch mit den Daten der Nutzer handeln kann und dies vielleicht auch macht.
Legt man wert auf Datenschutz und Privatsphäre, sollte man die Finger von diversen Apps und Plattformen lassen, ob es sich nun um Facebook oder um FaceApp handelt.
Im Endeffekt sollten wir uns keine Sorgen um eine einzelne App machen, sondern mehr Gedanken darüber, wie wir ohnehin schon allen möglichen Apps und Plattformen unsere Daten freiwillig geben. Unsere Daten sind schon lange nicht mehr so privat, wie wir es gerne glauben, sondern Teil eines großen Geschäftsmodells.
Wenn dir dieser Beitrag gefallen hat und du die Bedeutung fundierter Informationen schätzt, werde Teil des exklusiven Mimikama Clubs! Unterstütze unsere Arbeit und hilf uns, Aufklärung zu fördern und Falschinformationen zu bekämpfen. Als Club-Mitglied erhältst du:
📬 Wöchentlichen Sonder-Newsletter: Erhalte exklusive Inhalte direkt in dein Postfach.
🎥 Exklusives Video* „Faktenchecker-Grundkurs“: Lerne von Andre Wolf, wie du Falschinformationen erkennst und bekämpfst.
📅 Frühzeitiger Zugriff auf tiefgehende Artikel und Faktenchecks: Sei immer einen Schritt voraus.
📄 Bonus-Artikel, nur für dich: Entdecke Inhalte, die du sonst nirgendwo findest.
📝 Teilnahme an Webinaren und Workshops: Sei live dabei oder sieh dir die Aufzeichnungen an.
✔️ Qualitativer Austausch: Diskutiere sicher in unserer Kommentarfunktion ohne Trolle und Bots.
Mach mit und werde Teil einer Community, die für Wahrheit und Klarheit steht. Gemeinsam können wir die Welt ein bisschen besser machen!
* In diesem besonderen Kurs vermittelt dir Andre Wolf, wie du Falschinformationen erkennst und effektiv bekämpfst. Nach Abschluss des Videos hast du die Möglichkeit, dich unserem Rechercheteam anzuschließen und aktiv an der Aufklärung mitzuwirken – eine Chance, die ausschließlich unseren Club-Mitgliedern vorbehalten ist!
Hinweise: 1) Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur Auseinandersetzung der Sache mit dem Thema.
2) Einzelne Beiträge entstanden durch den Einsatz von maschineller Hilfe und wurde vor der Publikation gewissenhaft von der Mimikama-Redaktion kontrolliert. (Begründung)