WhatsApp a soukromí

SHRNUTÍ:

WhatApp v květnu 2021 mění podmínky používání. Kdo nebude souhlasit, aplikaci nepustí.
Pokud máte WhatsApp, a k tomu Facebook či Instagram, prakticky se pro vás nic nemění.
Neznamená to ale, že byste WhatsApp měli používat. Ba naopak.
Tahle kauza totiž v celé nahotě obnažila, kolik toho velké firmy o nás ví.
A uživatelé se zděsili. Právem.

Ale popořadě.

Jak to vlastně začalo?

Změna pravidel používání:

První změnu pravidel WhatsApp vyhlásil s platností k 8. únoru 2021 na svém blogu
Následně ji musel odložit na 15. května 2021 (WhatsApp.com, česky)
- důvodem byly špatně napsané nové podmínky, rozvíření tématu soukromí, dezinterpretace změny pravidel a mystifikace
- a to se nezměnilo i přes pokusy o vyjasnění ze strany WhatsAppu
Tím se zformoval "proti-whatsappí" vzdor, nejviditelněji asi zmedializovaný ve tweetu Elona Muska "Použij Signál" (Twitter.com, anglicky)
- výsledkem byl hromadný úprk uživatelů na konkurenční aplikace (monitoring situace, DenikN.cz, česky)
- což v důsledku způsobilo vrásky na čele i konkurenčním aplikacím (výkon, výdaje)

Co je tedy obsaženo v plánované změně v podmínkách WhatsAppu?

Úprava politik (WhatsApp.com přes archive.org, anglicky, stav k 17. 1. 2021) říká, že:

bylo upřesněno, jak se zachází s osobními informacemi, jak jsou chráněny a jak si může každý uživatel informace spravovat sám,
obsahuje neupřesněné změny snažící se pomoct firmám z Facebooku spojit se s uživateli na WhatsAppu,
obsahuje neupřesněné změny související s přenos informací a užiatetlských zkušeností mezi aplikacemi a produkty pod Facebookem.

To zase nezní tak hrozně, že?

Říkáte si: proč bych měl WhatsApp kvůli tomu přestat používat?

Neřešme déšť, když stojíme v řece. Vystupme na břeh.

Kvůli samotné změně v podmínkách od WhatsAppu odcházet není třeba. Kdo má účet na Facebooku, nebo Instagramu, prakticky nic se nestane, neboť Facebook už informace o něm stejně má - zjednodušeně, zprávy číst může (365tipu.cz, česky).

Ale pokud své soukromí máme rádi,
WhatsApp bychom neměli používat vůbec.

A taktéž Facebook s Instagramem. Problém je totiž jinde, jak ilustruje obrázek nalevo (zdroj: The Cyber Security Hub, linkedin.com).

Důvod, proč nepoužívat produkty z rodiny Facebooku, je přílišná koncentrace informací o uživateli na jednom místě.

Proč je soukromí vlastně důležité?

Představte si, že někdo bude znát o Vás toto:

kde bydlíte
jaké máte koníčky
kdo je členem vaší rodiny
jaké máte politické smýšlení
o jakých tématech se bavíte s kamarády
co bylo obsahem posledních nákupů

Jak snadné pak bude ušít reklamu přímo pro vás, která vás přesvědčí, že zrovna VY byste měli stranu XYZ volit.

Pokud inzerent zamíří úzkoprofilovou reklamou na správnou cílovou skupinu, dosáhne značné efektivity.

Toho, co by se mu na billboardu nepovedlo, tedy oslovit všechny možné skupiny ve společnosti, je schopen dosáhnout personalizovanou reklamou za mnohem menších nákladů.
Nebezpečí vyzrazování soukromí tedy není v tom, že se nám zobrazí reklamu na to, o čem jsme nedávno zapředli hovor s kamarády v chatu, nebo že si někdo zjistí, naši adres, co máme doma, kdy jsme byli na dovolené a půjde nás vykrást.
Nebezpečí je v tom, že se svět okolo vás změní, aniž to postřehneme.

O tom, že soukromí důležité, svědčí i to, že propojení WhatsAppu a Facebooku zkoumá i Evropská komise (TechCrunch.com, anglicky) pro ochranu dat (Data Protection Commission).

EU DPC již v minulosti udělila například Twitteru pokutu 550.000 eur za bezpečnostní průlom. Aktuální případ s WhatsAppem je však již delší - DPC má WhatsApp v hledáčku kvůli GDPR již od roku 2018.

Pro představu, o jakých datech spojených s uživatelem se bavíme?

Magazín 9to5mac připravil přehledovou tabulku, jaká data která aplikace spojuje s uživatelskou identitou. Zleva doprava vidíme informační inflaci: Signal, iMessages, WhatsApp, Facebook Messanger.

To laicky řečeno znamená, že čím je obdélník větší, tím víc toho aplikace může o nás zjistit a to předat někomu jinému.

Pro zajímavost, po aktualizaci WhatsApp politik se z třetího obdélníku (WhatsApp) prakticky stane čtvrtý (Facebook).

Dobře, takže WhatsApp ne, říkáte si.

Jaké jsou ale alternativy?

Vyjít můžeme například z doporučení etických hackerů (DenikN.cz, česky).

Ti jako první zmiňují Signal, který má tyto vlastnosti:

hlasové a video hovory
posílání hlasové a video zpráv
v českém jazyce
pro Androida i iOS
s uživatelem nespojuje prakticky žádné informace

Další alternativou je aplikace Telegram, která nemá tak širokou škálu možností.

Poznámka: etičtí hackeři jsou lidi, kteří radí firmám, kde mají bezpečnostní slabiny.

Stačí si jen vybrat a říct o tom svým kamarádům. Komentáře pod články většinou informují, že se v průměru jedná o bezbolestný přechod.

Otázky a odpovědi, názory

Nasbíral jsem několik dotazů k této problematice, na které bych rád níže odpověděl. Taktéž jsem přidal pár názorů.

Jak bezpečný je Signal proti Telegramu a proti WhatsAppu z pohledu nalezených zranitelností?

Přehled bezpečnostních slabin lze najít zde v databázi běžných zranitelností, kde má každá svoje číslo:

Signal (nist.gov, anglicky) - k 6. 2. 2021 celkem 11
Telegram (nist.gov, anglicky) - k 6. 2. 2021 celkem 16
WhatsApp (nist.gov, anglicky) - k 6. 2. 2021 celkem 29

Telegram nepoužívá šifrované zprávy.

Telegram šifruje zprávy ve dvou vrstvách (telegram.org, anglicky). Server-klient šifrování pro soukromé a skupinové konverzace, a pro extra bezpečí, klient-klient šifrování v tajných (secret) konverzacích. Šifrování je založemo na AES-256 sumetrické šifře , RSA-2048 a Diffie-Hellman výměně klíčů.

Telegram se k otázce bezpečnosti obšírně věnuje ve svých FAQ (telegram.org, anglicky). Telegram staví svou bezpečnost na MTProto (telegram.org, anglicky) protokolu. Porovnání MTProto se Signal protokolem (stackexchange.com, anglicky). Právě používání vlastního protokolu je však Telegramu vyčítáno.

Podrobný popis je pak k dispozici v technických FAQ (telegram.org. anglicky).

Na WhatsAppu zůstávám kvůli rodině, přátelům, lidem v okolí, které těžko donutím přejít jinam.

Při pročítání reakcí na situaci okolo WhatsAppu jsem více než málo četl příběhy, že přechod na jinou platformu byl překvapivě lehký. Nejtěžší se zdá odhodlat se to navrhnout. Odmigrování celých skupin o například 20 lidí nebylo, dle ohlasů, výjimkou.

Pokud máte pocit, že vám bude na jiné platformě lépe, zkuste to. Navrhněte přechod, třeba na Signál, který je z pohledu používání WhatsAppu nejblíž ze mnou testovaných aplikací. Je možné, že zjistíte, že ostatní mají podobný názor. Podpořit to můžete třeba odkazem na tento článek.

A pokud neuspějete, navrhněte jim aspoň vhodné nastavení bezpečí na WhatsAppu. Každý bod se počítá.

Signal upozorňuje, pokud se nějaký můj kontakt připojí. Lustruje tedy můj telefon a posílá moje kontakty.

Služba Signal (míněno server Signalu) nezná kontakty uživatele. (signa.org, anglicky)

Signal neposílá nikomu telefonní číslo uživatele, dokud uživatel sám nepošle zprávu. Všechna data zůstávají na telefonu v aplikaci. Upozornění o připojení taktéž nejsou přenášena - ta vytváří aplikace samotná.

To, co aplikace Signal dělá je to, že projde kontakty, bezpečně zašifruje telefonní čísla a odešle je na Signal server (signal.org, anglicky). Tato šifra je jednosměrná, nedá se tedy z ni určit, jak dané číslo vypadalo. Jako důvod je udáváno to, že když uživatel ví, kdo z kontaktů je na Signalu, může mu místo SMS poslat Signal zprávu. Aplikaci Signal je totiž možné používat volitelně místo aplikace Zprávy pro příjem SMS.

Informace o tom, že se někdo přidal k Signalu, je možné v aplikaci vypnout: Nastavení -> Upozornění -> Kontakt se připojil k Signal.

Jakou mám záruku, že Signal/Telegram se nebude v budoucnu chovat stejně, jako Facebook?

Žádnou.

Přesto tu však pár rozdílů je:

Facebook Inc. (web společnosti) je firma založená za účelem zisku - za poslední kvartál 2020 to bylo 26,4 miliard dolarů. Vydělává hlavně na reklamě (nasdaq.com, anglicky) a neustále překonává odhady v příjmech (nasdaq.com, anglicky). Má proto důvod sbírat a zpracovávat data o uživatelích pro své potřeby a přeprodávat je dál inzerentům.
- Facebook Inc. má v portfoliu produkty WhatsApp, Facebook, Messenger a Instagram.
Signal Technology Foundation (web společnosti, anglicky) je nezisková organizace. Jejím cílem je vyvinout otevřenou technologii pro soukromí uživatelů (wikipedia.org, anglicky). Organizace je podporována nadací pro svobodný tisk Freedom of the Press Foundation. Dalším zdrojem příjmů je bezúročná půjčka od spoluzakladatele ve výši 105 miliónů dolarů, splatná v roce 2068. Zpracování a přeprodej dat o uživatelích proto nemá oporu v business plánu Signal Technology Foundation.
- Signal Technology Foundation má v portfoliu aplikaci Signal.
Telegram Messenger Inc. a Telegram FZ LLC byl založen Pavlem Durovem a je jím i finančně podporován (telegram.org, anglicky). Aplikace má údajně hodnotu 5 miliard dolarů (bloommerg.com, anglicky). V roce 2021 se plánuje nějaká forma monetizace, která by neměla mít podobu reklam v chatech (telegram.org). Aplikace by měla zůstat zcela zdarma. Pavel Durov neplánuje prodat Telegram (twotter.com, anglicky).
- Telegram Messenger Inc. a Telegram FZ LLC mají v portfoliu aplikaci Telegram.

Takový je stav k 31. lednu 2021. Jak se vyvine dál, ukáže čas. Vždy ale máte možnost odejít, pokud se věci začnou vyvíjet špatným směrem.

Vaše soukromí za to stojí.

Je jedno, přes co komunikuji - FB/WhatsApp/Signal/ICQ/IRC/SMS, vždy je po cestě někdo, kdo si to může přečíst.

Předně si řekněme, co znamená "po cestě". Může to znamenat:

mimo dosah odesílatele a příjemce
v zařízení odesílatele nebo příjemce

Způsob zabezpečení jednotlivých komunikačních kanálů se taktéž liší:

Facebook Messenger je bezpečný pouze, pokud se použije volba "tajná konverzace" (crambler.com, anglicky). Zprávy, které jsou obvykle zasílány Facebook Messengerem v nezašifrované podobě a je možné je po cestě přečíst. Ze samotné aplikace je pak jiná aplikace přečíst nemůže.
WhatsApp a Signal - zprávy jsou šifrovány protokolem Signal mezi koncovými zařízeními (mashable.com, anglicky). Díky tomu je není možné po cestě přečíst. Na zařízení samotném je jak jiná aplikace přečíst nemůže.
ICQ - přestože se jedná o hodně starého kecálka, zprávy jsou mezi zařízeními šifrovány (icq.com, anglicky), takže po cestě nemůžou být přečteny. Ani na zařízení jinou aplikací.
IRC - tento komunikační stařík na bázi komunikace klient-server používá standardně komunikaci se serverem v čistém textu (reddit.com, anglicky). Zprávy po cestě tedy mohou být přečteny. Zprávy v aplikaci klienta ne, na straně serveru to záleží na zabezpečení daného serveru.
SMS nejsou běžně zabezpečeny vůbec a je možné je po cestě číst. I proto se například od SMS jako druhého faktoru upouští, neboť každá aplikace může požádat o možnost číst SMS, a uživatel jí to často v dobré víře umožní. Pak lze číst zprávy i na zařízení.

Nahradí mi Telegram nebo Signal aplikaci Facebook, má nástěnky?

Ne.

Tyto aplikace jsou kecálky, jako například WhatsApp. Umožňují vytváření skupin, což lze pro potřeby nástěnek využít jen omezeně.

Pokud potřebujete funkcionalitu nástěnek, je tu například produkt Mattermost (web projektu, anglicky) nebo i větší řešení, jako NextCloud (web projektu, anglicky). Hostování je třeba zajistit vlastními prostředky, nejedná se o cloudovou službu. Nad daty tak máte plnou kontrolu.

Pár poznámek na závěr

Co se nevešlo jinam:

Nezapomínejte stále na soukromí

Pokud ve Facebook rodině zůstat musíte (nebo prostě chcete), udělejte pro své soukromí alespoň to, že vhodně nastavíte volby soukromí pro WhatsApp, Facebook a Instagram (vše 365tipu.cz, česky).

To samé platí ale i v případě, že přejdete k Telegramu či Signálu. I zde je dobré výchozí nastavení změnit (Forbes.com, anglicky).

WhatsAppem a Facebookem to nekončí

Stejný problém jako s Facebookem je i s jinými giganty - Google, Apple, Samsung. Huawei, Twitter a podobně. Nikdy nelze zajistit, že i firma, která se dnes tváří mile, bude milá i za 5 let. Viz příklad Facebooku, který WhatsAppu po akvizici slíbil, že zůstane autonomní (WhatsApp.com, anglicky) a tedy nebude propojován s Facebookem a Instagramem, jak na to v lednu 2019 upozornil mashable (mashable.com, anglicky). Další pohled na možnosti šmírování uživatelů lze najít např. na 365tipu (365tipu.cz, česky).

Cesta z toho je nespoléhat se na technologické obry a postavit si vlastní řešení. Technologie k tomu již jsou (DenikN.cz, česky).

Zpracování údajů v EU, výňatek z FAQ WhatsAppu

Je možné si podat námitku proti zpracování údajů, postup je uveden v FAQ WhatsAppu (WhatsApp.com, česky). Námitka bude posouzena, zda má všechny náležitosti, a pak bude rozhodnuto, zda se jí vyhoví, či nikoli.

Pokud bude námitce vyhověno, přestane WhatsApp zpracovávat osobní údaje uživatele, ale existující nebudou vymazány. Uživatel může podat další žádost, tentokrát o vymazání svých údajů.

Námitka může být i zamítnuta, například z důvodu: "Po provedení balančního testu usoudíme, že vaše zájmy nebo základní práva a svobody nepřevažují naše oprávněné zájmy (či oprávněné zájmy třetí strany)."

Kauza Signal Advance a síla následovníků

K přechodu na aplikaci Signál vyzval mimo jiných i Elon Musk, jak je mu podobné, v krátkém tweetu: "Použij Signál" (Twitter.com, anglicky).

A ačkoli tím Elon Musk myslel bezesporu aplikaci Signal, samotná dvě slova bez dalšího kontextu způsobila růst akcií podobně znějící firmy Signal Advance o tisíce procent (Bloomberg.com, anglicky). Síla influencerů.

Státníci na Telegramu

Telegram se těší oblibě prezidentů a premiérů. Dle zakladatele Pavla Durova (Telegram.com, anglicky) jsou na telegramu prezidenti Brazília, Turecka, Mexika, Francie, Ukrajiny, Uzbekistnu, Taiwanu a premiéři Singapuru, Ethiopie a Israele.

Odkazy

Následují odkazy na populární časopisy.

WhatsApp, současné podmínky (WhatsApp.com přes archive.org, anglicky, stav k 12. 1. 2021)
WhatsApp, navržené nové podmínky (WhatsApp.com přes archive.org, anglicky, stav k 17. 1. 2021)
WhatsApp, klíčové změny (WhatsApp.com přes archive.org, anglicky, stav k 17. 1. 2021)
Proč si nepsat na Instagramu ani Facebooku. Je Signal nejlepší? Radí etičtí hackeři (DenikN.cz, česky)
Migrace z WhatsAppu - monitoring (DenikN.cz, česky)
WhatsApp-Facebook data-sharing transparency under review by EU DPAs after Ireland sends draft decision (TechCrunch.com, anglicky)
WhatsApp Backlash—Stop Using Signal Or Telegram Until You Change These 4 Critical Settings (Forbes.com, anglicky)
Zuckerberg is breaking promises to Instagram and WhatsApp. Be concerned. (mashable.com, anglicky)
Průvodce bezpečným internetem, který bezpečný být nemůže (365tipu.cz, česky) - nastavování soukromí
Je komunikace ve WhatsApp bezpečná? Čte Facebook moje soukromé zprávy? (365tipu.cz, česky)
Napsali o Telegramu (telegram.org. anglicky)

Page updated

Report abuse