Článek
Nejnebezpečnější část útoku často není WhatsApp, ale vaše jediné klepnutí. Aktuální varování popisují dvě odlišné cesty: podvrženou aplikaci, nebo převzetí účtu přes legitimní funkci. Kdo je smíchá do jedné hrozby, snadno přehlédne, co má zkontrolovat jako první.
WhatsApp sám prolomený nebyl
Titulek potřebuje srovnat. Podle bezpečnostního doporučení AIVD a MIVD útočníci neprolomili samotný WhatsApp, ale využili phishing, tedy podvodnou zprávu, která z vás láká kliknutí, kód nebo přihlášení, a také funkci Propojená zařízení, která připojí WhatsApp k dalšímu zařízení či webu.
Stejné varování výslovně říká, že neplatí, že Signal nebo WhatsApp jako celek útočníci kompromitovali; cílili na jednotlivé účty. Když jsem porovnal titulky s tímto dokumentem, rozdíl bil do očí hned.
Pevnou kotvu přidal 1. duben 2026. Podle veřejně citovaného vyjádření WhatsAppu v textu TechCrunchu firma varovala asi 200 uživatelů, hlavně v Itálii, protože si zřejmě stáhli škodlivý neoficiální klient pro iPhone, tedy falešnou nebo nepodporovanou verzi aplikace.
Právě tam sedí i slovo spyware, což je škodlivý program pro tajné sledování zařízení. Nešlo ale o prokazatelně nakažený oficiální WhatsApp ani o něco, co by se samo šířilo zprávami z chatu do chatu.
Zmatek vzniká ve chvíli, kdy jeden feed smíchá malware, phishing i převzetí účtu přes propojení zařízení do jediného strašáku. Podle NÚKIB i nizozemských služeb jde o dvě různé cesty: buď člověk nainstaluje falešnou aplikaci, nebo útočník získá přístup k účtu přes kód či QR.
A právě v tom je celý problém: jednou jde o falešnou aplikaci, podruhé o účet, který si člověk otevře útočníkovi sám.
Útočník čeká na kód, ne na chybu aplikace
Stačí jeden kód. AIVD a MIVD popisují, že po vylákání ověřovacího kódu, tedy jednorázového kódu, který nesmí odejít cizímu člověku, a někdy i PINu, útočník účet převezme nebo si k němu připojí vlastní zařízení.
Tady nastupuje sociální inženýrství, tedy manipulace člověka místo technického prolomení systému. Jakmile se útočník dostane dovnitř, čte příchozí zprávy i skupiny a v některých případech píše vaším jménem, aniž si toho hned všimnete.
QR kód v tomhle scénáři není detail. Je to klíč od bytu. Meta popsala přesně ten moment, kdy podvodník po telefonu nebo pod falešnou záminkou vyláká kód pro propojení zařízení či přiměje oběť naskenovat QR kód, a tím připojí vlastní zařízení k cizímu účtu.
Když jsem četl tento popis vedle doporučení AIVD a MIVD, vycházelo z něj jednoduché pravidlo: QR kód skenujte jen tehdy, když vědomě propojujete své vlastní zařízení.
Jak poznat, že je problém? Varují nečekané SMS s ověřovacím kódem, podivné odhlášení, neznámé zařízení v účtu, zvláštní aktivita mikrofonu nebo kamery a také neznámá aplikace v telefonu.
Šifrování nechrání účet, který si otevřete sami
Šifrování tu paniku neřeší. Jen ji vysvětluje. Engineering at Meta při popisu více zařízení i starší technické materiály firmy vysvětlují šifrování end-to-end jako ochranu přenosu zpráv, ne zázračnou obranu proti převzetí účtu nebo zařízení.
Pokud útočník sedí uvnitř vašeho účtu přes legitimně připojené zařízení, nesedí „na trase“ mezi odesílatelem a příjemcem, ale přímo u dveří vašeho bytu. Jakmile si tohle srovnáte, zbývá už jen poslední důležitá věc: co je v titulcích poctivé a co už je přestřelené.
Slovo ,,hesla kulhá". Důkazně sedí spíš jinam. iVerify u kampaně DarkSword výslovně mluví o sběru Wi-Fi hesel a dalších dat z plně kompromitovaného iPhonu, zatímco Lookout zmiňuje exfiltraci credentials a saved credentials vedle komunikace z WhatsAppu a dalších aplikací.
U dubnové kauzy s falešným whatsappovým klientem veřejně citované popisy dokládají škodlivou neoficiální aplikaci a doporučení k jejímu odstranění, ne stejně pevně doloženou krádež hesel. Když jsem srovnal obě kauzy vedle sebe, právě tohle byl největší rozdíl.
Rozhoduje minuta kontroly
Praktický verdikt zabere minutu. Otevřete Propojená zařízení a odpojte vše, co nepoznáváte; přesně to doporučují AIVD a MIVD. Pokud máte v telefonu podezřelou aplikaci, smažte ji a nainstalujte oficiální WhatsApp, což firma doporučila i uživatelům dotčeným dubnovým incidentem podle TechCrunchu.
Kontakty pak varujte jiným kanálem než přes WhatsApp. A smysl dává i Strict Account Settings, tedy nová ochranná volba WhatsAppu pro přísnější nastavení účtu, kterou Meta představila; sama svět nespasí, ale riziko snižuje.
Když podezření míří už na telefon, nestačí řešit jen chaty. Apple u iOS 26.3 a iPadOS 26.3 uvádí opravy zranitelností, které útočníci aktivně zneužívali v cílených útocích, takže aktualizace systému patří do krizového postupu stejně jako aktualizace dalších aplikací.
A pokud máte důvod myslet si, že zařízení někdo kompromitoval, počítejte i s výměnou hesel u důležitých účtů. Jestli tedy máte po přečtení udělat jedinou věc, otevřete si hned teď Propojená zařízení, odpojte vše cizí a zkontrolujte, jestli v telefonu neběží aplikace, kterou jste tam nikdy nechtěli.
Zdroje: AIVD/MIVD, Cybersecurity Advisory. Phishing via messaging apps Signal and WhatsApp, TechCrunch, WhatsApp notifies hundreds of users who installed a fake app made by government spyware maker, Meta, WhatsApp Strict Account Settings: Safeguarding Against Cyber Attacks, Google Threat Intelligence Group, The Proliferation of DarkSword: iOS Exploit Chain Adopted by Multiple Threat Actors
