WhatsApp a bezpečnosť Stačilo prijať nesprávne video a hacker mohol ovládnuť smartfón. Máme sa obávať?

WhatsApp prednedávnom zverejnil správu o závažnej, no medzičasom už zaplátanej bezpečnostnej chybe. Stačilo, aby hacker poslal používateľovi – je jedno, či na Android alebo iOS – video alebo s ním začal videohovor, a mohol získať plný prístup k celému smartfónu.

Upozornil na to zakladateľ konkurenčnej platformy Telegram Pavel Durov na svojom telegramovom kanáli, kde WhatsApp dlhodobo kritizuje za bezpečnostné diery. Podľa Durova sa „každý rok dozvieme o nejakom probléme vo WhatsAppe, ktorý vystaví riziku všetko na zariadeniach svojich používateľov“.

Čo z toho vyplýva? Mali by si dve miliardy používateľov WhatsAppu zmazať účty a prejsť na inú platformu? Alebo ide o planý poplach?

Durov: Keď WhatsApp zatvorí jedny zadné dvierka, otvoria sa ďalšie

Durov má v zásade pravdu, história bezpečnostných dier najpoužívanejšieho messengera je naozaj závažná a rozsiahla. V roku 2020 spoločnosť priznala šesť bezpečnostných chýb, vďaka ktorým sa na smartfóny mohol dostať škodlivý softvér napríklad cez prijaté obrázky, videohovory a odkazy na webové stránky.

Rok predtým sa prevalilo, že útočníci mohli pomocou jednoduchého prezvonenia svojim cieľom (hovor nemuseli ani prijať) nainštalovať na telefón špehovací softvér Pegasus, ktorý vyvinula izraelská spoločnosť NSO a údajne ho predávala vládam rôznych krajín.

Pavel Durov, zakladateľ Telegramu: „Za jediný týždeň, čo náš tím v roku 2016 strávil v Spojených štátoch, sme zažili tri pokusy o infiltráciu od FBI. Predstavte si, čo desať rokov v takomto prostredí môže urobiť s firmou sídliacou v USA.“

Záznam o zmeškanom hovore sa z hacknutého zariadenia zvykol zakrátko stratiť a útočníci mali o pár minút k dispozícii celý obsah smartfónu, dokonca mohli zapínať kameru a mikrofón a nepozorovane sledovať, čo ich cieľ práve robí.

Vlády kupovali Pegasus so zámerom boja proti terorizmu či drogovým kartelom, avšak objavili sa obvinenia zo špehovania novinárov a disidentov od Mexika po Saudskú Arábiu.

V roku 2018 sa objavil podobný, aj keď trochu menší problém. Jeden z členov tímu Google Project Zero, ktorý chybu objavil, to už vtedy označil za „veľkú vec“. „Od úplnej kompromitácie WhatsAppu môže útočníka deliť iba jeden prijatý hovor,“ napísal na Twitteri. Po objavení chyby Facebooku trvalo vyše mesiac, kým ju opravil.

Ani rok 2017 neprešiel WhatsApp s čistým štítom. A rok predtým ani nepoužíval end-to-end šifrovanie.

Durov z toho vyvodzuje, že podobné bezpečnostné diery môže očakávať aj v budúcnosti. „Tieto problémy sú len ťažko náhodné – sú to vstavané zadné dvierka (tzv. backdoors, v kontexte softvéru ide o skrytú metódu, ako obísť zabezpečenie zariadenia, pozn. red.). Ak niekto objaví jedny a musia sa odstrániť, vzniknú ďalšie,“ myslí si zakladateľ Telegramu.

V blogu z roku 2019 sa Durov pohráva s myšlienkou, že tieto zadné dvierka by WhatsApp mohol do svojich aplikácií vkladať pod tlakom tajných služieb. „Za jediný týždeň, čo náš tím v roku 2016 strávil v Spojených štátoch, sme zažili tri pokusy o infiltráciu od FBI. Predstavte si, čo desať rokov v takomto prostredí môže urobiť s firmou sídliacou v USA,“ napísal.

Zakladateľ Telegramu Pavel Durov. Foto: youtube.com

Nerobme z komára somára

Aj keď je Durovova kritika do veľkej miery oprávnená, nesmieme zabúdať, že ju nehovorí nestranný pozorovateľ, ale priamy konkurent WhatsAppu. V záujme Telegramu je, aby mu stále pribúdali noví používatelia. Každý zmazaný účet na WhatsAppe potenciálne znamená nový účet na Telegrame.

Preto to, čo Durov označuje za obrovské bezpečnostné zlyhania, ktoré z jeho konkurencie robia „nástroj na špehovanie“, môže niekto nezainteresovaný opísať ako stredné bezpečnostné riziko, ktoré nespôsobilo žiadnu škodu.

Odborník na kyberbezpečnosť a digitálne sledovanie Zak Doffman sa na portáli Forbes snaží kontrovať Durovovmu alarmizmu. V článku upozorňuje, že WhatsApp poslednú dieru údajne objavil interne a zaplátal ju ešte pred akýmkoľvek náznakom jej zneužitia.

„Navyše, zneužitie takejto chyby vyžaduje ten typ sofistikovanej snahy, ktorej sa takmer nik z čitateľov nemusí obávať – aspoň pokým nie ste možný cieľ pre politický či finančný kyberútok,“ tvrdí Doffman.

Hackerské zneužívanie populárnych messengerov nie je čosi, čo sa obmedzuje len na WhatsApp. Podobné problémy mal aj iMessage od Apple či v istom zmysle aj Telegram.

Okrem toho tiež pripomína, že hackerské zneužívanie populárnych messengerov nie je čosi, čo sa obmedzuje len na WhatsApp. Podobné problémy mal aj iMessage od Apple či v istom zmysle aj Telegram (tu však išlo skôr o zneužitie softvéru, ktorý vyvíja Telegram, než o bezpečnostnú dieru). Ak je nejaký softvér nainštalovaný na stovkách miliónov zariadení, nevyhnutne pritiahne pozornosť útočníkov. Ale netreba zabúdať, že počty obetí sú v skutočnosti veľmi nízke.

Doffman preto radovým používateľom, ktorí nemajú čím pritiahnuť pozornosť útočníkov, radí: Používajte Signal na konverzáciu s každým, kto na ňom má účet. Na zvyšok stačí WhatsApp, je end-to-end šifrovaný, nainštalovaný na väčšine zariadení a funguje veľmi dobre. Podľa Doffmana si ho rozhodne z telefónu nemusíte zmazať.

Zuckerberg vs. Durov: Kto si cení bezpečnosť viac?

Vráťme sa ešte k Telegramu. Porovnanie jeho zabezpečenia s WhatsAppom môže priniesť zopár zaujímavých postrehov. Obe firmy totiž tvrdia, že bezpečnosť a súkromie ich používateľov sú pre ne top priority.

Telegram predvolene používa šifrovanie používateľ – server/server – používateľ. Znamená to, že komunikácia medzi serverom a klientom je šifrovaná, takže ak niekto zachytí vaše správy „po ceste“ na server alebo zo servera, nebude ich vedieť rozlúštiť. K dátam sa útočník môže dostať, len ak kompromitoval zariadenie používateľa alebo server Telegramu.

Okrem toho sú dáta aj šifrovacie kľúče rozmiestnené naprieč svetom, takže žiadna vláda nemôže prinútiť lokálnu pobočku Telegramu, aby jej vydala súkromie jej používateľov. Nato by sa potrebovala spojiť so všetkými ostatnými, čo je vysoko nepravdepodobné.

V skratke sa dá povedať, že s technickou bezpečnosťou Telegramu nie je zásadný problém. Otázka je iba to, či veríte jeho vedeniu, ktoré, keďže skladuje vaše dáta aj šifrovacie kľúče, by ich teoreticky mohlo začať predávať teroristom, vládam či súkromným spoločnostiam.

Nič nie je isté, ale zatiaľ sa dá povedať, že nič takéhoto typu nehrozí. Na druhej strane, najlepšie je, keď nemusíte veriť nikomu. Preto Telegram ponúka možnosť tajných konverzácií (secret chats), ktoré používajú koncové šifrovanie, no majú výrazne oklieštené funkcie.

Oproti tomu WhatsApp používa end-to-end šifrovanie vo všetkých konverzáciách. Šifrovacie kľúče sa nachádzajú iba na zariadeniach používateľov, takže všetko, čo pretečie medzi nimi, dokonca aj cez servery vlastnené Metou (rodičovská spoločnosť WhatsAppu), má podobu nezmyselných, nerozlúštiteľných dát.

Tento prístup je z pohľadu používateľského súkromia jednoznačne lepší, pretože konverzácie aj šifrovacie kľúče k nim má v rukách výhradne vlastník zariadenia – používateľ. Problém je, že vďaka bezpečnostným chybám WhatsAppu sa tretie strany mohli nepozorovane na diaľku zmocniť ľubovoľného smartfónu, čiže aj dešifrovaných súkromných správ.

WhatsApp používa lepšie šifrovanie ako Telegram, čiže podľa teórie by mal byť bezpečnejší. No pre možnosť hacknutia smartfónu je pravdepodobne rizikovejší.

Výsledkom je, že aj keď WhatsApp používa lepšie šifrovanie ako Telegram, čiže podľa teórie by mal byť bezpečnejší, v skutočnosti je pravdepodobne rizikovejší. Inými slovami, ak nemáte solídne vystavané základy, nepomôžu vám ani tie najhrubšie steny; zlodejovi stačí podkopať sa len meter pod povrch a je vnútri.

Durovovo obvinenie, že WhatsApp tieto bezpečnostné diery vytvára vedome a cielene, však stojí na vode. Rovnako dobre môžu byť výsledkom nedbalosti, ktorá vypláva z toho, že bezpečnosť pre Metu nie je ani tak priorita, ako užitočný marketingový slogan.

Treba tiež dodať, že Zuckerbergova Meta síce nemôže čítať obsah vašich správ, ale sleduje vašu aktivitu v aplikácii a bez zábran si o nej ukladá informácie. Okrem toho sleduje napríklad údaje o platbách či nákupoch alebo vašu polohu.

No ani Telegram so svojimi secret chatmi sa za posledné roky veľmi nepohol. Ešte stále sa nedajú používať v skupinových konverzáciách a sú neprenosné medzi zariadeniami (fungujú iba na mobile, a to výhradne na tom, kde sa tajný chat začal). Pôsobí to tak, že ani pre Telegram nie je bezpečnosť až takou vysokou prioritou, ako o sebe tvrdí.

V konečnom dôsledku tak platí pre bežného používateľa: pokojne používajte to, čo vám vyhovuje. Citlivejšie správy však radšej posielajte cez Signal alebo tajný chat na Telegrame.