Aplikace WhatsApp je tématem nových alarmujících zpráv, které se týkají její bezpečnosti. Obavy, které se týkají dvou miliard uživatelů této oblíbené aplikace, odstartovalo varování, že nejpopulárnější komunikační aplikace na světě „slouží už třináct let ke sledování“ svých uživatelů, kteří „by se proto měli držet od WhatsAppu dál“.
To jsou slova Pavla Durova, zakladatele konkurenční platformy Telegram, který jimi komentoval poslední kritické bezpečnostní oznámení od samotného WhatsAppu. „Pokud máte na svém telefonu nainstalovaný WhatsApp, pak jsou veškerá data z jakékoli aplikace na vašem telefonu někomu přístupná… A přesně kvůli tomu jsem ze všech svých zařízení vymazal WhatsApp už před mnoha lety,“ přisadil si Durov.
Takže – má tedy pravdu? Je WhatsApp skutečně nebezpečnější než Telegram a další komunikační platformy? Skutečně „otevírá do vašeho telefonu dveře dokořán“? Nebo se, i přes jeho ujištění, že se nesnaží přetáhnout lidi k Telegramu, jedná jen o nejnovější výstřel v boji mezi dvěma komunikačními giganty?
Vezměme to popořádku. Nejnovější zranitelné místo WhatsApp už opravil. Oznámil přitom, že chyba byla odhalena vnitřními procesy a opravena dřív, než se objevil jakýkoli důkaz o tom, že by ji někdo stačil využít. A co je možná podstatnější, využití tohoto typu bezpečnostní zranitelnosti vyžaduje velmi sofistikovanou operaci, které se s největší pravděpodobností nemusí obávat nikdo, kdo tyto řádky zrovna čte – pokud tedy není potenciálním terčem kybernetického zločinu v oblasti politiky nebo financí.
Zranitelnost WhatsAppu současně není nic nového, aplikace už byla několikrát v jiných formách zneužita k podobným útokům, jaké nedávno zasáhly iMessage od společnosti Apple. Počet zasažených uživatelů byl nicméně poměrně malý. A nezapomínejme přitom na to, že kompromitována byla dříve i bezpečnost uživatelů Telegramu.
Důvod, proč se iMessage, WhatsApp a další masivně rozšířené platformy stávají terčem takových útoků, je jejich všudypřítomnost. Pokud mám v hledáčku politiky, novináře, aktivisty nebo disidenty, pak se musím zaměřit na něco, co budou mít takřka nepochybně nainstalováno na svém telefonu. Tomu přesně odpovídá WhatsApp – obzvláště s přihlédnutím k tomu, že je multiplatformní, tudíž jej využívají jak iPhony, tak telefony s operačním systémem Android.
Jako běžný uživatel WhatsAppu se nicméně musíte obávat něčeho úplně jiného – totiž běžných podvodů, které z vás vylákají přístup k vašemu účtu, což útočníkům umožní zaměřit se i na vaše kamarády a rodinu za účelem finančního zisku.
Takový typ útoku postihuje tisíckrát více uživatelů než zmiňovaný backdoorový malware. Proto také nikdy neposílejte žádný verifikační kód, který vám přišel esemeskou, žádným svým přátelům, nehledě na to, jak dojemnou historku by vám mohli vyprávět.
Stejně tak byste se měli mít pozoru před faktem, že koncové šifrování vás možná ochrání před tím, aby hackeři ukořistili vaší soukromou konverzaci, ale samotná konverzace není vše, co by o vás chtěl z aplikace někdo zjistit. A platí to dvojnásob v případě WhatsAppu, který vlastní společnost Meta, což je v současnosti největší a nejúspěšnější sběrač uživatelských dat.
„WhatsApp například sbírá množství metadat z vaší komunikace a posílá je společnosti Meta. Jejich byznys je postavený na sběru a analýze metadat z naší online komunikace. Primárně to nedělají z nějaké zlovolnosti, ale protože je to součást jejich obchodního modelu. Vědí, co nám mají zobrazit, aby maximalizovali naše zapojení, což je zase věc, kterou prodávají inzerentům,“ vysvětlil nedávno českému Forbesu Phil Zimmermann, legenda mezi kryptografy.
Pokud jde ale o samotný obsah vašich zpráv, je koncové šifrování neocenitelným pomocníkem. Zabezpečuje totiž vaše konverzace i před samotnou aplikací, na které se odehrávají. Dešifrovací klíče k dekódování obsahu máte pouze vy a osoba nebo skupina, se kterou si zrovna píšete. Takový obsah je zranitelný pouze ve chvíli, kdy je na jednom ze zařízení rozšifrován ve výstupu konkrétního chatu, nebo kdybyste historii chatu zálohovali mimo šifrování.
Právě proto se útoky na plně šifrovaný obsah zpráv spoléhají na kompromitaci na straně klienta, kdy se malware dostane do vašeho zařízení a sleduje vaši aktivitu. Poslední aktualizace zabezpečení aplikace WhatsApp měla za cíl uzavřít bezpečnostní díru, která by právě takový útok na straně klienta umožňovala. A co se zálohování týče, WhatsApp nyní umožňuje šifrovat zálohy do cloudů společností Apple a Google, což je obrovské vylepšení oproti dřívějšku.
Ironií toho všeho je, že ačkoli Telegram útočí na WhatsApp s tématem bezpečnosti, je to ve skutečnosti právě on, který je ve výchozím nastavení podstatně méně bezpečný. Kromě limitovaných „tajných chatů“ Telegram totiž šifruje pouze obsah mezi uživateli a svými servery, nikoli ale mezi samotnými uživateli. Proto se také WhatsApp do Telegramu tvrdě pustil, když se platformy dostaly do sporu o bezpečnost a soukromí naposledy.
Problém Telegramu je tak ve skutečnosti mnohem širší a týká se mnohem více uživatelů, než se potenciálně mohla týkat zalátovaná trhlina v zabezpečení WhatsAppu. Ostatně viděli jsme vládní varování pro Rusy, kteří používají Telegram k chatování o válce na Ukrajině. Přestože má totiž Telegram zásady a postupy, které chrání obsah a zabraňují zaměstnancům špehovat zprávy uživatelů, absence koncového šifrování znamená, že proti tomu neexistuje žádná technická překážka jako taková.
Měli byste mít tedy obavy z používání Telegramu? Pravděpodobně nikoli – koneckonců je považován i za oblíbený komunikační nástroj podsvětí. Přesto však platí, že pokud patříte do vysoce rizikové skupiny nebo se pohybujete ve vysoce rizikovém prostředí, pak používejte raději aplikaci Signal a rozhodně zvolte plně zabezpečenou platformu. Nezapomeňte ve svém zařízení také vypnout jakékoli nezašifrované zálohování.
A WhatsApp rozhodně mazat nepotřebujete. Navzdory své provázanosti se společnosti Meta si WhatsApp bezpochyby zaslouží skutečné uznání za to, že demokratizoval koncové šifrování a je k dispozici napříč platformami po celé planetě. Nikdo neumožnil bezpečnou komunikaci miliardám lidí efektivněji – a to včetně Applu, který ve své iMessage doposud žádnou formu koncového šifrování mimo uzavřený mikrokosmos Applu samotného neumožnil.
Doporučuji proto to samé, co jsem doporučoval už dříve. Používejte aplikaci Signal se všemi svými kontakty, které mají tuto aplikaci nainstalovanou, a na všechno ostatní používejte WhatsApp. Je šifrovaný koncově, najdete ho na většině telefonů a výjimečně dobře funguje nejen pro textový obsah, ale také pro hovory.