Zavřít reklamu

V posledních měsících je o sociální síti TikTok slyšet ve světě nikoliv pro její různorodý obsah, ale kvůli možnému sledování jejích uživatelů Čínou. O tom, co vlastně může ono sledování znamenat a proč by vás mělo (ne)znepokojovat jsme se proto rozhodli popovídat s jedním z nejpovolanějších lidí u nás, ne-li ve světě. Pozvání na náš rozhovor totiž přijal ředitel společnosti SecurityNet.cz s.r.o, vlastník hostingu hukot.cz a white-hat hacker Petr Pomajbík, který se věnuje bezpečnosti sítí, OS a sociálnímu inženýrství již od roku 1999. Pokud vás tedy zajímá jeho pohled na věc, pohodlně se usaďte a pusťte se do čtení. 

V posledních měsících slýcháme v médiích velmi často o strachu USA a zejména pak Donalda Trumpa z čínské špionáže, kterou měla tato země provádět na území spojených států mimo jiné přes velmi oblíbenou aplikaci TikTok. Málokdo však zřejmě ví, co přesně se za těmito zprávami skrývá. Mohl byste nám tedy alespoň v krátkosti označit, jak je vůbec možné využít platformu typu TikTok ke špionáži uživatelů a to v takovém formátu, aby byla vnímána jako státní bezpečnostní hrozba? Co shromažďuje?

Co, vše se přenášelo si, troufnu říci, nikdo 100% neví krom ByteDance ltd – tedy čínské společnosti, která TikTok vlastní. Co bylo přiznáno a odchyceno na zařízeních Android, kde se používala pro krytí tohoto přenosu s legitimním přenosem další šifrovaná vrstva, bylo to, že TikTok odesílá MAC adresy zařízení s dalšími daty, na kterém je instalovaná a to při prvním spuštěním aplikace a nebo při puštění aplikace na jiném zařízení stejného účtu. Toto probíhalo minimálně 15 měsíců. 

K čemu tato data? Já se primárně přikláním k faktu, že se jedná o data pro marketingové, reklamní účely společnosti, tedy co nejlepší cílení reklamy s cílem umožnit jejich inzerentům sledovat chování spotřebitele. Mimochodem tato data shromažďují i další aplikace, což bylo již častokrát řešeno, jen asi ne s takovou mediální bublinou, kterou zasadil americký prezident. Možná vás napadne, jak reagují společnosti pokud jim předložíte důkaz o tom, že takto data „těží“. Jejich odpovědi jsou jako přes kopírák – tato data jim pomáhají přizpůsobovat prostředí jejich klientům. Což je a bude vždy do jisté míry pravdou.

K čemu mohou takto získaná data de facto neznámých lidí zemi ležící “na druhém konci planety” být? Jedná se přeci jen o data lidí, kteří na TikToku sdílí zpravidla naprosté hlouposti a tudíž se tak nějak dá předpokládat, že nejsou vysokými státními činiteli a bezpečnost své mateřské země asi neohrozí. 

Navážu na předchozí dotaz, jak by mohla být vnímána jako státní bezpečnostní hrozbou. Toto můžeme začít vnímat v případě, že by protistrana  mohla získané informace využít proti představitelům státu a to nemusejí být jen politici, ale samozřejmě úředníci, údržbáři, IT specialisté, energetiky a takových relativně „obyčejných“ uživatelů najdete obrovské množství. Na základě některých dat zlovolné jednání může přinutit kompromitovanou osobu k jednání, ke kterému by jinak nepřikročila. Ano, můžeme namítnout, že zrovna tuto aplikaci asi z drtivé části používají děti, mladiství, ale tito mladí lidé jednou budou někde zaměstnaní a nezapomínejme, že mají dospělé okolí. A tady vyvstává obrovský problém a to nejen pojící se k této aplikaci, ale k celé řádě. Respektive, zde již narážíme na globální problém chování většiny uživatelů a jejich přístupu uvědomění si vlastního soukromí, důsledků vlastního jednání a chování na internetu.

Jaké platformy jsou vlastně z pohledu bezpečnostních expertů největším bezpečnostním rizikem z hlediska možného zneužití po získání určitých dat uživatelů? 

Troufnu si říci, že na nejvyšší příčkách dominují messengery a sociální sítě v globálu. Což nemusí automaticky znamenat, že všichni data vědomě zneužívají. Je třeba si uvědomit, že i hodná společnost provozující nějakou oblíbenou aplikaci je pod tlakem hackerů toužících po datech jejich uživatelů. To zde s námi je, bylo a bude.

Existuje nějaká spolehlivá ochrana, jak se před kyberúskalími na těchto platformách bránit?

Zde odpovím asi velice stroze – je to rozum. 

Měli by si vůbec běžní smrtelníci dělat z podobných věcí hlavu? Ochrana osobních údajů a soukromí se v poslední době omílá na každém rohu, ale má tyto věci vůbec smysl řešit v nějakém komplexnějším měřítku? Samozřejmě, když mi někdo ukradne heslo od mailu nebo mi hackne internetové bankovnictví, je to problém. Když mě ale někdo sleduje na internetu a pak na mě například cílí reklamy bez mého souhlasu, má smysl se tím znepokojovat?

Možná bychom se mohli zeptat, kolik vašich čtenářů četlo licenční ujednání například od Google, když si zakládali účet pro email nebo ukládání dat, kalendáře, kontakty, co že to odsouhlasili? Je to asi to samé, že vás to nebude zajímat, dokud vám nezačne vznikat problém nebo další otázky. Já jsem napřiklad dlouho nevěděl, že můj oblíbený tmavý chléb se přibarvuje karamelem a nikomu to asi nevadí! Dost možná to drtivá skupina lidí ani neví. Neřeší se to, tedy není problém.

Jaké platformy jsou z pohledu bezpečnostních expertů naopak nejbezpečnější? Když bychom se bavili o iOS vs. Android, ve společnosti stále panuje jakési přesvědčení, že je iOS z hlediska bezpečnosti na míle daleko před Androidem. Je tomu tak? Kdybychom se pak zaměřili na komunikátory, jakému má smysl důvěřovat? Hodně lidí věřilo WhatsAppu, ale i jeho sláva začíná pomalu uvadat. 

Odpověď může být hodně dlouhá, jelikož zde můžeme mít spoustu faktorů pro/proti těmto platformám. Ale vemem si to z jednoduchého pohledu, ten možná udělá více lidem rychlejší obrázek. Do kolika různých hardwarových platforem,různých výrobců můžete nainstalovat Android a do kolika iOS? iOS je pevně spjat s hardwarem, který dodává stejná společnost, což znamená daleko jednodušší a rychlejší údržbu bezpečnosti OS. Nyní máte například obrovský problém Androidu s čipy od Qualcomm, kde je více než 400 zranitelností, které využívá více než 40 % telefonů po celém světě, včetně telefonů od společností Google. To je obrovský problém když již dnes víme, že díky těmto zranitelnostem mohou zlí lidé – záměrně nepoužívám slovo hackeři – špehovat telefony se systémem Android, relativně lehce skrývat útoky nebo vyřadit funkčnost celého mobilu/tabletu.

Jaké země jsou ve špionáži přes aplikace nejaktivnější?

Bez urážky a nadsázky odpovím, že v tomto si západ s východem může podat ruku.  

Má uživatel vůbec šanci poznat, že je aplikací či čímkoliv jiným v jeho telefonu špehován?

Běžný smrtelník ne.

Související články

Dnes nejčtenější