Filip Houska V moderní společnosti, kdy putuje drtivá část soukromých a citlivých informací k příjemci díky komunikačním aplikacím, se začíná čím dál více lidí zajímat o to, zdali jsou jejich odeslaná a přijatá data řádně šifrována. Některé služby mají takovou vlastnost nativně nastavenou, u jiných je nutné manuální aktivování a zbytek platforem jí vůbec nedisponují. Přitom by tento aspekt měl být klíčovým. Na tom se shodují i experti, kteří nezabezpečené komunikátory vůbec nedoporučují stahovat. Mezi ně například patří nová služba Allo od Googlu.
Téma ohledně šifrovacích komunikačních služeb se stalo velmi skloňovaným v první polovině letošního roku, a to především kvůli kauze Apple vs. FBI, kdy vláda od Applu vyžadovala prolomení iPhonu jednoho z teroristů stojícího za útoky v kalifornském San Bernardinu. Nyní však za rozruchem stojí nová komunikační aplikace Google Allo, která toho z hlediska šifrování a uživatelské bezpečnosti příliš nepobrala.
Google Allo je nová chatovací platforma fungující na bázi částečné umělé inteligence. I když se koncept s virtuálním asistentem, který reaguje na položené otázky uživatelů, může zdát jakkoliv slibný, tak postrádá právě prvek bezpečnosti. Vzhledem k tomu, že Allo analyzuje každý text, aby mohl navrhnout na základě funkce Assistant (Asistent) vhodnou reakci, tak mu chybí automatická podpora end-to-end šifrování, tedy takové formy bezpečné komunikace, kdy nemohou být zprávy mezi odesílatelem a příjemcem téměř nijak prolomeny.
K tomu se vyjádřil i kontroverzní Edward Snowden, bývalý zaměstnanec americké Národní bezpečnostní agentury, který zveřejnil informace o sledování obyvatel americkou vládou. Snowden na Twitteru několikrát zmínil pochybnosti o Google Allo a zdůraznil, aby lidé tuto aplikaci nepoužívali. Nebyl navíc jediným. Mnoho expertů se shodlo na tom, že bude bezpečnější si Allo vůbec nestahovat, jelikož většina uživatelů si manuálně takové šifrování zkrátka nenastaví.
Free for download today: Google Mail, Google Maps, and Google Surveillance. That’s #Allo. Don’t use Allo. https://t.co/EdPRC0G7Py
— Edward Snowden (@Snowden) September 21, 2016
Nejedná se však pouze o Google Allo. Deník The Wall Street Journal ve svém srovnání upozorňuje na to, že bez nativního end-to-end šifrování je například i Messenger od Facebooku. V případě, že chce mít uživatel své údaje pod kontrolou, tak jej musí aktivovat manuálně. Nelichotivá je i situace, že takové zabezpečení vztahuje pouze na mobilní zařízení, nikoliv na desktop.
Zmíněné služby tuto zabezpečovací funkci, i když ne automaticky, alespoň nabízejí, ovšem na trhu se objevuje značné množství platforem, které end-to-end šifrování neberou vůbec v potaz. Příkladem může být Snapchat. Ten má všechen přenesený obsah ihned ze svých serverů mazat, ale šifrování během odesílacího procesu zkrátka není možné. S takřka totožným scénářem se potýká i služba WeChat.
Zcela zabezpečen není ani Skype od Microsoftu, kde jsou sice zprávy jistým způsobem šifrovány, ale nikoliv na základě metody end-to-end, nebo Google Hangouts. Tam se veškerý již odeslaný obsah žádným způsobem nezabezpečuje a pokud se chce uživatel ochránit, tak je nutné historii manuálně smazat. Ve výčtu se také vyskytuje komunikační služba BBM od BlackBerry. Tam je neprolomitelné šifrování povoleno pouze v případě balíčku pro firmy pod názvem BBM Protected.
Vyskytují se však výjimky, které jsou bezpečnostními experty oproti výše zmíněným doporučovány. Mezi ně se paradoxně řadí WhatsApp, jež byl koupen Facebookem, Signal od Open Whisper Systems, Wickr, Telegram, Threema, Silent Phone a také služby iMessage a FaceTime od Applu. Obsah odeslaný v rámci těchto služeb je automaticky šifrován na základě metody end-to-end a ani samotné společnosti (minimálně Apple) se k datům nemohou žádným způsobem dostat. Důkazem je i vysoké ohodnocení organizací EFF (Eletronic Frontier Foundation), která se touto problematikou zabývá.
U iMessage není zmíněno, že iMessage lze prolomit jiným způsobem – třeba když zálohujete telefon do iCloudu, tak od toho Apple všechny klíče má a může dešifrovat i zálohované zprávy (aby byl schopen obnovit vše i na smazané zařízení, kdy jsou klíče ztraceny a nebo na zařízení úplně jiné)…
Ale čitelné je to pouze pro daného uživatele se svým Apple ID a heslem, nebo ne?
(nezkoumal jsem to, jen se ptám)
Možná až zbytečně vyhrocený článek.