Faceapp: Wie gefährlich ist „FaceApp“ denn nun eigentlich? Ein Faktencheck

Von | 18. Juli 2019, 14:23

Eine neue Funktion der App „FaceApp“, mit der man sich optisch älter machen kann, sorgt für viele Diskussionen rund um Datensicherheit.

„FaceApp“ gibt es seit 2017 und es ist in den Grundfunktionen kostenlos, gegen eine jährliche oder einmalige Gebühr  gibt es noch weitere Funktionen, ein Portraitfoto jünger zu machen, mit Makeup, und anderen Frisuren zu versehen oder bestimmte Filter zu verwenden. Erstaunlich daran ist, dass man beispielsweise bei der Alterungsfunktion nur noch an Details erkennen kann, dass es sich um ein manipuliertes Bild handelt.

Die Kernpunkte dieses Artikels

  1. Ein US-Politiker verlangt Untersuchung durch das FBI
  2. Man muss wissen, dass man FaceApp folgendes gewährt: eine unbefristete, unwiderrufliche, nicht ausschließliche, lizenzgebührenfreie, weltweite, voll bezahlte, übertragbare Unterlizenz zur Nutzung, Reproduktion, Änderung, Anpassung, Veröffentlichung, Übersetzung, Erstellung von abgeleiteten Werken, Verbreitung, öffentlichen Aufführung und Anzeige Ihrer Benutzerinhalte und alle Namen, Benutzernamen oder Ähnlichkeiten, die im Zusammenhang mit Ihren Benutzerinhalten in allen bekannten oder später entwickelten Medienformaten und -kanälen angegeben werden, ohne dass Sie dafür eine Entschädigung erhalten.
  3. Im Endeffekt sollten wir uns keine Sorgen um eine einzelne App machen, sondern mehr Gedanken darüber, wie wir ohnehin schon allen möglichen Apps und Plattformen unsere Daten freiwillig geben. Unsere Daten sind schon lange nicht mehr so privat, wie wir es gerne glauben, sondern Teil eines großen Geschäftsmodells.

FaceApp

Was nun allerdings so spaßig klingt, wirft in vielen Medien Fragen auf, die wir genauer beleuchten wollen:

  • Wo wandern die Daten hin?
  • Was geschieht mit den Bildern?
  • Wie groß ist das Sicherheitsrisiko?
  • Ist die App ein „Schnüffeltool“?

Im Folgenden werden wir uns Schritt für Schritt mit den Fakten und den Behauptungen auseinandersetzen, um ein Gesamtbild zu erhalten.

Der Entwickler

Wie in den Nutzungsbedingungen zu lesen ist, wurde die App von „Wireless Lab OOO“ entwickelt, deren Sitz ist in Sankt Petersburg, Russland.

Wohin fließen die Daten? Und welche Daten überhaupt?

An dieser Stelle tappsen schon viele, insbesonders amerikanische Medien in die Falle, dies als Warnung auszurufen, da bei einer App, die aus Russland kommt, nur Ausspionierung der Daten von US-Bürgern in Frage kommen kann. Dies führt mittlerweile so weit, dass der US-Senator Chuck Schumer verlangt, dass sich das FBI diese App genauer anschauen solle, da diese russische App „unwiderruflich und uneingeschränkt Zugriff auf die persönlichen Fotos und Daten“ verlangt.

Doch wir müssen gar nicht erst darauf warten, ob und wann das FBI sich die App genauer anschaut, da diverse Sicherheitsexperten die App und den Datenfluß bereits genau betrachtet haben.

So berichtet die Expertin Jane Manchun Wong, die sich hauptsächlich damit beschäftigt, diverse Apps auf Sicherheit, Datenschutz und neue, noch versteckte Funktionen zu untersuchen, dass sie nichts Verdächtiges in der App finden konnte. Das Bild, welches bearbeitet werden soll, wird auf einen AWS-Server hochgeladen (AWS = Amazon Web Services), eine weitere Autorisierung wie beispielsweise eine namentliche Registrierung ist nicht nötig.
Weitere gesendete Daten umfassen nur Nutzerinteraktionen mit der App, aber keine weiteren Daten, mit denen eine Person eindeutig identifiziert werden könnte.

Was sie allerdings zurecht bemängelt: Nutzer haben keine Kontrolle darüber, wie lange ihre Fotos auf den Servern gespeichert bleiben.

Etwas genauer hat sich ein französischer Security-Experte mit dem Pseudonym „Elliot Alderson“ (sein echter Name ist Robert Baptiste) angeschaut. Auf Twitter veröffentlichte er die Ergebnisse seiner Recherche. Demnach findet ein reger Datenaustausch zwischen der App und Firebase, einer Entwicklungs-Plattform für mobile und Webanwendungen, der Facebook SDK (Facebooks Schnittstelle für Apps) und Account Kit (ebenfalls eine von Facebook entwickelte Schnittstelle für eine schnelle Registrierung) statt.

- Werbung -

Dieser Datenverkehr ist nachvollziehbar, da FaceApp beispielsweise ermöglicht, sich als Nutzer zu registrieren und Bilder vom eigenen Facebook-Account zur Verarbeitung zu wählen. Einen Registrierungszwang hat die App jedoch nicht.

Nun wird es aber interessant!

Interessanter wird es nun, wenn es darum geht, welche Daten mit den Amazon Cloud Servern ausgetauscht werden.
Von dort werden die Demobilder geladen, zudem bekommt das Smartphone eine ID zugewiesen, das Betriebssystem wird gecheckt. Auf die Server wird tatsächlich nur das zu bearbeitende Foto hochgeladen, nicht etwa sämtliche Fotos, wie manche Seiten behaupten!

Die Daten landen also nicht etwa in Russland, sondern auf Amazon Cloud Servern, welche in den USA stehen.
Es werden auch nicht sämtliche Bilder und Daten hochgeladen, sondern tatsächlich nur das zu bearbeitende Foto.

Warum muss die Berechnung auf fremden Servern stattfinden?

Moderne Handys mit entsprechender Rechenleistung und genug Speicher würden es tatsächlich auch schaffen, die Bilder lokal zu berechnen. Die Entscheidung, dies auf Amazon Cloud Servern berechnen zu lassen, hat eher wirtschaftliche Gründe:

  1. So können auch Nutzer mit schwächeren Smartphones die App nutzen = größere Verbreitung der App
  2. Die Entwickler wollen ihren Algorithmus schützen, da andere Entwickler die App sonst „auseinandernehmen“ und ihre eigene „Alterungs- und Verschönerungssoftware“ daraus basteln könnten

Wie werden die Daten genutzt?

Das Wahrscheinlichste, was man mit Portraitdaten machen kann, ist das Trainieren von Algorithmen zur Gesichtserkennung.
Sollte dies das Ziel von FaceApp sein, stünden sie damit allerdings nicht alleine da, sondern wären nur ein weiteres Unternehmen, das dies praktiziert. Beispielsweise berichtet „The Guardian„, dass Google 8 Millionen Profilbilder verwendete, um Gesichtserkennungsalgorithmen zu trainieren, zusätzlich 2.000 Youtube-Videos, die bei der „Mannequin-Challenge“ hochgeladen wurden. Facebook verwendete zum gleichen Zweck die Profilbilder von 10 Millionen Nutzern.

Was geschieht mit meinen Daten?

Dies ist ein sehr umstrittener Punkt in den AGB der App. Definitiv ist er auch nicht DSGVO-komform, aber werfen wir erst einmal einen Blick darauf.
Auf Deutsch übersetzt findet sich in Punkt 5 der „Terms of Use“:

„Sie gewähren FaceApp eine unbefristete, unwiderrufliche, nicht ausschließliche, lizenzgebührenfreie, weltweite, voll bezahlte, übertragbare Unterlizenz zur Nutzung, Reproduktion, Änderung, Anpassung, Veröffentlichung, Übersetzung, Erstellung von abgeleiteten Werken, Verbreitung, öffentlichen Aufführung und Anzeige Ihrer Benutzerinhalte und alle Namen, Benutzernamen oder Ähnlichkeiten, die im Zusammenhang mit Ihren Benutzerinhalten in allen bekannten oder später entwickelten Medienformaten und -kanälen angegeben werden, ohne dass Sie dafür eine Entschädigung erhalten.“
(…)
„Durch die Nutzung der Dienste stimmen Sie zu, dass der Benutzerinhalt für kommerzielle Zwecke verwendet werden darf. Sie erkennen ferner an, dass die Verwendung der Benutzerinhalte durch FaceApp für kommerzielle Zwecke weder zu einer Verletzung Ihrer Person noch zu einer Person führt, die Sie dazu ermächtigt haben, in ihrem Namen zu handeln.“

Konkret bedeutet dies, dass die Fotos beispielsweise für die eigene Werbung genutzt werden dürfen. Es wird auch von einer Unterlizensierung gesprochen, was bedeutet, dass man FaceApp gestattet, die Fotos an andere Anbieter weiterzugeben, die diese dann nutzen dürfen. Theoretisch könnte das eigene Foto also irgendwann auf einer Plakatwand erscheinen, ohne dass man das Recht auf das eigene Bild einklagen könne.

- Werbung -

Keine einzigartige Regelung

Wer nun glaubt, dass die Ersteller von FaceApp sich da einfach zuviel herausnehmen, sollte sich ein wenig umschauen, denn auch in dem beliebten Kurznachrichtendienst „Twitter“ findet sich eine solche Passage in den AGB:

„Durch Übermittlung, Veröffentlichung oder Anzeigen von Inhalten auf oder über die Dienste gewähren Sie uns eine weltweite, nicht ausschließliche, unentgeltliche Lizenz (mit dem Recht zur Unterlizenzierung), diese Inhalte in sämtlichen Medien und über sämtliche Verbreitungswege (die gegenwärtig bekannt sind oder in Zukunft bekannt sein werden) zu verwenden, zu vervielfältigen, zu reproduzieren, zu verarbeiten, anzupassen, abzuändern, zu veröffentlichen, zu übertragen, anzuzeigen und zu verbreiten.“
(…)
„Die von Ihnen im Rahmen der Dienste übermittelten, veröffentlichten, übertragenen oder anderweitig bereitgestellten Inhalte können von Twitter oder anderen Unternehmen, Organisationen oder Einzelpersonen zusätzlich verwendet werden, ohne dass Ihnen hierfür eine Vergütung gezahlt wird.“

Auch in den AGB von Facebook findet sich eine solche Passage:

„Insbesondere wenn du Inhalte, die durch geistige Eigentumsrechte geschützt sind (wie Fotos oder Videos), auf oder in Verbindung mit unseren Produkten teilst, postest oder hochlädst, gewährst du uns eine nicht-exklusive, übertragbare, unterlizenzierbare und weltweite Lizenz, deine Inhalte (gemäß deinen Privatsphäre- und App- Einstellungen) zu hosten, zu verwenden, zu verbreiten, zu modifizieren, auszuführen, zu kopieren, öffentlich vorzuführen oder anzuzeigen, zu übersetzen und abgeleitete Werke davon zu erstellen.“

Natürlich gibt es einen Unterschied!

Bei Facebook und Twitter handelt es sich um Dienste, bei denen man willentlich Bilder und Texte veröffentlicht, während man dies bei FaceApp ja vordergründig erst einmal für sich selbst macht, bevor man sich dafür oder dagegen entscheidet, ein Bild zu teilen.
So ist die umstrittene Passage zwar eine auch auf anderen Seiten verwendete Standardformulierung, hinterlässt aber bei einer App einen bitteren Beigeschmack, da es sich bei dieser ja nicht um ein soziales Netzwerk handelt.

Das Statement der Entwickler

Aufgrund der Vorwürfe veröffentlichten die Entwickler ein Statement, welches wir hier auf Deutsch übersetzt haben:

Wir erhalten viele Anfragen bezüglich unserer Datenschutzrichtlinien und möchten daher einige Punkte nennen, die die Grundlagen erläutern:

  1. FaceApp führt den größten Teil der Fotoverarbeitung in der Cloud durch. Wir laden nur ein Foto hoch, das von einem Benutzer zur Bearbeitung ausgewählt wurde. Wir übertragen niemals andere Bilder vom Telefon in die Cloud.
  2. Möglicherweise speichern wir ein hochgeladenes Foto in der Cloud. Der Hauptgrund dafür ist die Leistung und der Datenverkehr: Wir möchten sicherstellen, dass der Benutzer das Foto nicht bei jedem Bearbeitungsvorgang wiederholt hochlädt. Die meisten Bilder werden innerhalb von 48 Stunden nach dem Upload-Datum von unseren Servern gelöscht.
  3. Wir akzeptieren Anfragen von Benutzern, alle ihre Daten von unseren Servern zu entfernen. Unser Support-Team ist derzeit überlastet, aber diese Anfragen haben unsere Priorität. Für die schnellste Verarbeitung empfehlen wir, die Anfragen von der FaceApp Mobile App über „Einstellungen-> Support-> Fehler melden“ mit dem Wort „Datenschutz“ in der Betreffzeile zu senden. Dafür arbeiten wir an einer besseren Benutzeroberfläche.
  4. Alle FaceApp-Funktionen sind ohne Anmeldung verfügbar. Sie können sich nur über den Einstellungsbildschirm anmelden. Infolgedessen melden sich 99% der Benutzer nicht an. Daher haben wir keinen Zugriff auf Daten, die eine Person identifizieren könnten.
  5. Wir verkaufen keine Benutzerdaten und geben sie nicht an Dritte weiter.
  6. Obwohl sich das Kernteam für Forschung und Entwicklung in Russland befindet, werden die Benutzerdaten nicht nach Russland übertragen.

Darüber hinaus möchten wir eines der häufigsten Anliegen kommentieren: Alle Bilder aus der Galerie werden auf unsere Server hochgeladen, nachdem ein Benutzer Zugriff auf die Fotos gewährt hat. Das machen wir nicht. Wir laden nur ein Foto hoch, das zur Bearbeitung ausgewählt wurde. Sie können dies schnell mit einem der im Internet verfügbaren Netzwerk-Sniffing-Tools überprüfen.

Fassen wir zusammen

Mehrere Sicherheitsexperten untersuchten die App und konnten keine außergewöhnliche Datenströme feststellen.
Eine persönliche Zuordnung der Bilder zu Personen kann nicht stattfinden, wenn man sich nicht beispielsweise mit Facebook verknüpft.
Die Daten landen auch nicht in Russland, sondern auf Amazon Cloud Servern, welche zum größten Teil in den USA stehen (keiner in Russland).
Die AGB ist in bestimmten Punkten zwar nicht ungewöhnlich, aber zumindest fragwürdig.

- Werbung -

Sollte ich die App nun lieber löschen?

Dies ist nun jedem selbst überlassen.
Facebook, Instagram, WhatsApp, Twitter und sehr viele Apps auf dem Smartphone sammeln bereits fleißig persönliche Daten und Bilder. Vielen Apps gibt man auch noch weit darüber hinaus gehende Rechte, wie beispielsweise die eindeutige ID des Smartphones, die Kartennutzung, die Mikrofonnutzung, die Erlaubnis, Anrufe und SMS verwalten zu können, oftmals ohne dass dies für die App überhaupt nötig ist.

FaceApp ist in dem Sinne auch nur eine weitere App, der man Daten gibt, in diesem Fall vordergründig Fotos. Bei einer Verknüpfung mit Facebook und Twitter wäre darüber hinaus auch noch möglich, die Bilder mit anderen Daten zu verknüpfen. So zumindest die theoretischen Möglichkeiten, allerdings gibt man alleine Facebook schon so viele Daten, Fotos und Videos, dass ein Selfie mit FaceApp eher ein Tropfen auf dem heißen Stein ist.

Man muss sich bewusst werden, dass jede App und jede Plattform theoretisch mit den Daten der Nutzer handeln kann und dies vielleicht auch macht.
Legt man wert auf Datenschutz und Privatsphäre, sollte man die Finger von diversen Apps und Plattformen lassen, ob es sich nun um Facebook oder um FaceApp handelt.

Im Endeffekt sollten wir uns keine Sorgen um eine einzelne App machen, sondern mehr Gedanken darüber, wie wir ohnehin schon allen möglichen Apps und Plattformen unsere Daten freiwillig geben. Unsere Daten sind schon lange nicht mehr so privat, wie wir es gerne glauben, sondern Teil eines großen Geschäftsmodells.

- Wir brauchen deine Unterstützung -
An alle unsere Leserinnen und Leser! Wir haben keine “Pay-Wall” eingerichtet, denn wir möchten unsere Inhalte für alle Interessierten offen halten. Wenn jeder, der unsere Rechercheberichte liest und mag, dabei hilft, diese zu finanzieren, wird es mimikama auch weiterhin geben
. Hier kannst Du unterstützen: via
PayPal und Steady
- Werbung -
- Werbung -