Článek
„Sbohem, Signale. Rusko zabilo důvěru v oblíbenou komunikační aplikaci evropských diplomatů.“ píše Deník N, když přetiskuje článek z EUObserveru. Jenže nejen titulek, ale i celý článek je trochu zavádějící. S bezpečností Signalu jako takového totiž odhalené kauzy nemají nic společného. I tak to ale pověst jednoho z nejbezpečnějších messengerů může poškodit - ne každý totiž čte víc, než titulky.
Co článek tvrdí
EUObserver píše, že ruští hackeři podkopali důvěru evropských diplomatů ve Signal natolik, že někteří přestali aplikaci používat. Skupina seniorních unijních úředníků se v panice rozpustila. Implikace je jasná: Signal je kompromitovaný, nedůvěryhodný, možná mrtvý jako bezpečná platforma pro citlivou komunikaci.
Proč to tak jednoduché není
Signal nebyl prolomen. Šifrování end-to-end funguje, protokol stojí na pevných základech. Co se stalo, jsou dvě věci — a obě mají jiného viníka.
Chyba číslo jedna: iOS, ne Signal. Apple měl v systému bug sledovaný jako CVE-2026-28950. iOS ukládal náhledy notifikací ze Signalu — tedy obsah příchozích zpráv — do systémové cache. Problém: tato data zůstávala v telefonu i po smazání konverzace, po aktivaci funkce „zmizelé zprávy“ a dokonce i po odinstalaci Signalu. Forenzní nástroje uměly tato data z telefonu vytáhnout. Apple to opravil v iOS 26.4.2, vydaném 22. dubna 2026 (Help Net Security, CVE-2026-28950, 23. dubna 2026). Chyba byla v iOS. Signal v tom byl nevinně a týkalo se to všech aplikací se zapnutými notifikacemi.
Chyba číslo dvě: QR kód a lidská důvěřivost. Tady je to složitější — a zajímavější. Rusky orientované skupiny, které Google Threat Intelligence identifikuje jako Sandworm/APT44 a UNC5792 (tedy jednotky napojené na ruský generální štáb), rozjely rozsáhlou phishingovou kampaň s jediným cílem: přimět oběti naskenovat QR kód. Ne falešný. Legitimní — přesně takový, jaký Signal používá pro funkci „propojená zařízení“, pomocí níž si můžete přistupovat k účtu z počítače nebo druhého telefonu.
Mechanismus je elegantně zákeřný: oběť dostane zprávu — maskovanou jako pozvánka do Signal skupiny, bezpečnostní alert od Signalu nebo (v kampaních zaměřených na Ukrajinu) stránka armádní aplikace — a v ní QR kód. Naskenuje ho. V tu chvíli se útočníkovo zařízení tiše přidá k účtu oběti, jako by to byl iPad, který si uživatel přidal sám. Od té chvíle chodí každá zpráva i na zařízení útočníka — v reálném čase, dešifrovaně, protože zařízení je pro Signal legitimní.
Google Threat Intelligence to zdokumentoval v únoru 2025. Německo oznámilo v dubnu 2026, že touto metodou bylo kompromitováno přes 300 účtů politiků, ministrů a novinářů. Ona rozpuštěná diplomatická Signal skupina? Nejpravděpodobněji se někdo z ní v nějakém okamžiku chytil do sítě stejné kampaně.
Proč tomu lidé věří? Protože „hackeři prolomili Signal“ je jasnější příběh než „diplomaté byli systematicky manipulováni ke skenování QR kódu, přes který si nevědomky přidali útočníky k vlastnímu účtu“. Druhá varianta je nepříjemná — naznačuje pasivní selhání lidí, kteří by vědět měli. A o tom se nepíše, ale hlavně nečte tak rádo.
Signal na problém reagoval — aktualizoval aplikaci tak, aby propojení nového zařízení doprovázelo výraznější upozornění a znesnadnilo tiché přidání.
Signal funguje skvěle, to uživatel je slabý článek
Signal funguje. Šifrování drží. Co selhalo, je kombinace systémové chyby v iOS (opravené) a sofistikované sociální manipulace zaměřené na konkrétní lidi ve vysokých funkcích. Volat „RIP Signal“ na základě toho je jako označit trezor za nespolehlivý, protože ho majitel omylem otevřel před cizím člověkem.
Není to tak dávno, co k usvědčení z nájemné vraždy novináře na Slovensku pomohly zprávy z jiné šifrované aplikace. Žádná špionáž v izraelském stylu - odemčený telefon na policii prostě odnesl člověk, který nechtěl krýt vraždu. A přímo Signal pak (opět nevinně) figuroval v částečně úsměvné kauze, kdy si současná profesionální administrativa v Bílém domě pozvala do uzavřené skupiny omylem investigativního novináře.
Pokud tedy v Signalu mám citlivé informace (a to nemusím být prezident, partneři si takto posílají hesla nebo fotky dětí, s vědomím, že je aplikace šifrovaná) musím vnímat aplikaci jen jako trezor. Chrání mé údaje, jen dokud nesdílím PIN. A ani sebelepší šifrování nezaručí, co s daty udělá příjemce.
Zdroje:
- EUObserver: „RIP Signal: Russians kill trust in many EU diplomats' beloved messaging app" — https://euobserver.com/213428/rip-signal-russians-kill-trust-in-many-eu-diplomats-beloved-messaging-app/
- Deník N: https://denikn.cz/2047683/sbohem-signale-rusko-zabilo-duveru-v-oblibenou-komunikacni-aplikaci-evropskych-diplomatu/?ref=share
- Google Threat Intelligence: „Signals of Trouble: Multiple Russia-Aligned Threat Actors Actively Targeting Signal Messenger" (únor 2025) — https://cloud.google.com/blog/topics/threat-intelligence/russia-targeting-signal-messenger
- Help Net Security: „Apple fixes iPhone bug that let FBI retrieve deleted Signal messages (CVE-2026-28950)" (23. dubna 2026) — https://www.helpnetsecurity.com/2026/04/23/cve-2026-28950-iphone-vulnerability-notifications-signal/
- Euronews: „Germany suspects Russia of Signal phishing attacks targeting politicians" (26. dubna 2026) — https://www.euronews.com/my-europe/2026/04/26/germany-suspects-russia-of-signal-phishing-attacks-targeting-politicians
- WIRED: „A Signal Update Fends Off a Phishing Technique Used in Russian Espionage" (únor 2025) https://www.wired.com/story/russia-signal-qr-code-phishing-attack/
