- WhatsApp je pravděpodobně na prahu největší bezpečnostní kauzy v jeho historii
- 52stránková žaloba tvrdí, že nenabízí koncové šifrování tak, jak tvrdí
- V praxi by tak mohla mít k vašim zprávám přístup spousta lidí
Nejpoužívanější chatovací platforma na světě – WhatsApp – je znovu na pranýři. Nejnovější kauza jde ale celkem hluboko pod povrch, týká se totiž koncového end-to-end šifrování, klíčového bezpečnostního prvku, kterým se Meta často chlubí. Podle podané žaloby totiž Meta šifrování pouze fingovala, celou dobu měla přístup ke zprávám uživatelů, a dokonce je měla dávat k nahlédnutí třetím stranám za účelem moderace.
WhatsApp a problém s šifrováním
Pojďme ale popořadě. Státní zástupci Brian Y. Shirazi a Nida Samson doručili ke kalifornskému soudu 52stránkovou žalobu, ve které tvrdí, že společnost Meta systematicky podváděla a podvádí své uživatele tím, že chatovací platformu WhatsApp označuje za bezpečnou a šifrovanou, přestože tomu tak údajně není.
Předmětem sporu je tzv. koncové šifrování, též end-to-end šifrování (E2EE). Jde o způsob zabezpečení komunikace, při kterém jsou zprávy zašifrovány už na zařízení odesílatele a dešifrovány až na zařízení příjemce. To znamená, že k jejich obsahu nemá přístup nikdo další – ani poskytovatel služby, ani případný útočník. Díky tomu jde o jeden z nejbezpečnějších způsobů, jak chránit soukromí při online komunikaci.
Přímo na svých stránkách pak WhatsApp uvádí: „Zabezpečení a ochranu soukromí máme v genech. Proto jsme do naší aplikace zabudovali koncové šifrování. Díky koncovému šifrování neskončí vaše zprávy, fotky, videa, hlasové zprávy, dokumenty, živě sdílená poloha, aktuality ve stavu ani hovory v nesprávných rukou. […] Nikdo mimo chat je nemůže číst, poslouchat nebo sdílet, a to ani WhatsApp.“
Spor o protokol Signal
O něco níž pak WhatsApp vysvětluje, že používá šifrovací protokol Signal, který nasadil například i Google do svých RCS zpráv a používá ho též stejnojmenná chatovací platforma Signal. Má to však háček – Signal protokol je open source, takže je možné jej libovolně upravit. Žaloba se přitom opírá o svědectví bývalých zaměstnanců Meta o tom, že vývojáři měli za úkol mezi lety 2014 a 2016 při nasazení protokolu vytvořit v kódu „zadní vrátka“, aby bylo možné šifrování obejít ze strany provozovatele.
Podle žaloby k tomu mělo docházet přes interní nástroje navázané na uživatelská ID a tento přístup měl sloužit hlavně k řešení podvodů nebo porušení pravidel. K chatům tedy dle všeho neměli mít přístup pouze osoby v chatu, ale i vývojáři Meta, WhatsAppu a také zaměstnanci irské společnosti Accenture, kterou si Meta najala coby externího moderátora.
Chápete to správně – žaloba tvrdí, že koncové šifrování v praxi nefungovalo, protože k vašim zprávám měla teoreticky přístup spousta lidí. Meta tím měla porušit jak svůj slib uživatelům, tak i americké zákony, protože pokud potřebovala k chatům přístup kvůli moderaci, měla o tom uživatele informovat a požádat je o svolení. Nic z toho se ale nestalo.
Přehledně: co žaloba vytýká WhatsAppu a Meta?
- Porušení smluvních závazků – uživatelé měli důvod věřit, že jejich zprávy zůstávají soukromé.
- Možné porušení kalifornských zákonů na ochranu soukromí – a nejspíš nejen těch kalifornských.
- Podezření na klamavé a nečestné obchodní praktiky, včetně zavádějící reklamy.
- Potenciální rozpor se zákonem Pennsylvania Wiretapping and Electronic Surveillance Act, který zakazuje neoprávněné sledování komunikace.
- Zásah do soukromí, tedy úmyslné a neoprávněné narušení důvěrné komunikace.
Žaloba dále poukazuje na to, že země jako Indie, Británie a další mají zákony, dle kterých mohou být jinak soukromé zprávy zpracovány při vyšetřování zločinů nebo při podezření z narušení národní bezpečnosti. Nicméně WhatsApp by mohl takové požadavky naplnit pouze za předpokladu, že má technickou schopnost zprávy dešifrovat nebo je jinak zpřístupnit, což je znovu v rozporu s marketingem Mety.
Důkazů je zatím málo…
Na druhou stranu, žaloba se vlastně opírá pouze o dvě věci: zdroje stran bývalých zaměstnanců a fakt, že Meta nezveřejnila kód protokolu Signal tak, jak jej používá. Z toho by bylo patrné, zdali obsahuje zadní vrátka, či nikoliv. Chybí také analýza třetí strany, která by potvrdila či vyvrátila pochybení na straně firmy Meta. Každopádně chybí jakýkoliv kryptografický důkaz, víceméně se v tuto chvíli žaloba pohybuje na úrovni velmi „měkkých“ důkazů.
WhatsApp se v letošním roce pevně etabloval jako celosvětová dominantní globální komunikační platforma s více než 3,3 miliardami aktivních uživatelů, z nichž přibližně 2,3 miliardy aplikaci využívá denně. Služba, kterou v roce 2009 založili Brian Acton a Jan Koum a následně ji v roce 2014 za rekordních 19,6 miliardy dolarů odkoupila společnost Meta, dnes zprocesuje přes 150 miliard zpráv každý den.
Klíčovými trhy zůstávají Indie (854 mil. uživatelů) a Brazílie, zatímco v USA popularita aplikace prudce vzrostla až ke 124 milionům uživatelů. Aplikace si díky tomu udržuje extrémní dosah u 69 % světové internetové populace.
Meta ani WhatsApp zatím k žalobě na svou adresu nevydaly žádné obšírné vyjádření. Oficiální profil na síti X pouze reagoval na Elona Muska, který si neodpustil ostrý komentář, že „WhatsAppu se nedá věřit“. „Tvrzení obsažená v této žalobě jsou zcela nepravdivá a absurdní. Aplikace WhatsApp je již deset let šifrována protokolem Signal od začátku do konce, takže vaše zprávy nemůže číst nikdo jiný než odesílatel a příjemce,“ napsal správce oficiálního WhatsApp účtu na síti X.
The claims in this lawsuit are categorically false and absurd. WhatsApp has been end-to-end encrypted using the Signal protocol for a decade so your messages cannot be read by anyone other than the sender and recipient.
— WhatsApp (@WhatsApp) April 9, 2026
Své zděšení nad kauzou WhatsAppu vyjádřil na X také Pavel Durov, zakladatel a výkonný ředitel platformy Telegram. „Aplikace WhatsApp a její ‚šifrování‘ je možná největším podvodem na spotřebitele v historii – klame miliardy uživatelů. Navzdory svým tvrzením čte zprávy uživatelů a sdílí je s třetími stranami. Telegram to nikdy nedělal – a nikdy dělat nebude,“ napsal Durov.
Míč je nyní na straně Mety, která by měla na skutečnosti zmíněné v žalobě reagovat. Není však v dobré situaci, firma Marka Zuckerberga má obsáhlou historii bezpečnostních kauz – k těm nejvýznamnějším patří Cambridge Analytica –, navíc pokud se alespoň zčásti vyplní obavy vyřčené v žalobě, bezesporu se to bude týkat nejen uživatelů v USA, ale prakticky všech 2 miliard uživatelů po celém světě.
