Phishing na Signal: Když útočníci nepotřebují prolomit šifrování

Napsal /

Konec dubna 2026 znovu ukázal, jak křehká může být představa „bezpečné komunikace“. V pátek 24. dubna německé federální státní zastupitelství oznámilo, že od poloviny dubna vede vyšetřování pro podezření ze špionáže – cílem byly účty v Signalu patřící politikům, diplomatům, vojenskému personálu a novinářům. Mezi zmiňovanými cíli byly i federální ministryně Karin Prien (školství) a Verena Hubertz (výstavba) a předsedkyně Bundestagu Julia Klöckner. Podle reportáže Der Spiegel mohlo být zasaženo přes 300 vysoce postavených účtů. Následující den německé vládní zdroje agentuře AFP sdělily, že kampaň „byla pravděpodobně řízena z Ruska“ – formulace zůstala opatrná, na rozdíl od jasnější atribuce ze strany nizozemských služeb.

Není to izolovaná událost. Už 9. března 2026 zveřejnily nizozemské zpravodajské služby AIVD a MIVD obsáhlé varování před „rozsáhlou globální“ kampaní cílící na účty Signalu a WhatsAppu – mezi oběťmi byli i nizozemští státní zaměstnanci. A 1. dubna přinesl Politico exkluzivní zprávu: Evropská komise nařídila vedoucím útvarů a jejich zástupcům uzavřít interní skupinový chat na Signalu kvůli obavám z hackerských útoků.

Tři události, jeden vzorec. A společný jmenovatel, který stojí za to pochopit: šifrování v Signalu nikdo neprolomil. Útoky míří jinam – na uživatele.

Proč je to důležitější než klasický „hack“

Když si představíme útok na šifrovanou komunikaci, většina z nás myslí na nějakou matematickou trhlinu, zero-day v aplikaci nebo malware v telefonu. Nic z toho se zde neděje. Útočníci využívají zcela legitimní funkci Signalu zvanou propojená zařízení (Linked Devices) – tu, díky které si můžete Signal nainstalovat na desktop a používat tentýž účet z notebooku i mobilu (Signal podporuje až pět propojených zařízení a po prvním propojení synchronizuje chaty a média až za posledních 45 dní).

Princip propojení je jednoduchý: desktopová verze Signalu zobrazí QR kód, vy ho naskenujete mobilem, a od té chvíle obě zařízení dostávají vaše zprávy. Šifrování zůstává funkční, ale útočníkovo zařízení se stane autorizovaným koncovým bodem, kterému Signal legitimně doručuje nové zprávy. Z pohledu Signal serveru jde o běžnou, zamýšlenou situaci.

Útok zneužívá přesně tento mechanismus. Útočník připraví QR kód propojeného zařízení, zamaskuje ho do podvodné stránky („pozvánka do skupiny“, „bezpečnostní upozornění od Signalu“, „přihlášení do firemní aplikace“) a doručí oběti odkazem v e-mailu, ve zprávě, na sociální síti. Když oběť QR kód naskenuje skenerem v sekci Nastavení → Propojená zařízení, propojí svůj účet s instancí Signalu, kterou ovládá útočník. Mobil oběti nevykazuje žádné stopy kompromitace – není tam malware, výdrž baterie neklesá, OS si ničeho nevšiml. Útočník přitom čte v reálném čase všechny nové zprávy a podle zjištění německých vyšetřovatelů mohl získat přístup i k historii konverzací z předchozích zhruba 45 dní díky synchronizačnímu oknu.

Existují i jednodušší varianty útoku. Podle varování AIVD/MIVD i reportáží o německém případu útočníci často vystupují jako „Signal Support Chatbot“ a žádají oběť o ověřovací SMS kód nebo o Signal PIN. Pokud uživatel kód předá, útočník účet jednoduše přeregistruje na své zařízení – původní vlastník je z aplikace odhlášen.

Pro úplnost: ekonomický kontext popisuje článek EUobserver, který s odkazem na anonymní zdroje z evropských zpravodajských a soukromých bezpečnostních služeb uvádí, že přístup k cizímu Signal obsahu se na šedém trhu obchoduje za 10 000–20 000 dolarů, k WhatsApp obsahu za 2 000–4 000 dolarů a údaje o cestovní historii oběti za 200–400 dolarů. Tato čísla se nepodařilo nezávisle verifikovat, ale i jako orientační údaj ukazují, že o tento typ přístupu existuje strukturovaná poptávka.

Anatomie útoku v pěti krocích

  1. Příprava. Útočník zaregistruje doménu vizuálně podobnou Signalu (například signal-confirm.site, signal-protect.host) a naklonuje stránku Signal Group Invite. JavaScript, který by normálně přesměroval na vstup do skupiny, je nahrazen kódem vyvolávajícím URI sgnl://linkdevice?uuid=… – to Signal rozpozná jako požadavek na propojení nového zařízení.
  2. Nalákání. Oběť dostane odkaz – e-mailem, v Signal/Telegram zprávě, přes kompromitovaný kontakt. Návnada se tváří jako pozvánka do skupiny, jako bezpečnostní upozornění Signalu, jako instrukce pro propojení nového zařízení nebo jako přihlášení do specializované aplikace.
  3. Sken QR. Oběť otevře stránku, vidí QR kód a naskenuje ho přímo skenerem v Nastavení → Propojená zařízení → Propojit nové zařízení. Signal v tu chvíli věrně zobrazí svůj normální dialog „Propojit zařízení? – Signal Desktop“.
  4. Propojení. Útočníkova instance Signalu se stává legitimním propojeným zařízením v účtu oběti. Server posílá kopie zpráv automaticky.
  5. Trvalý odposlech. Každá nová zpráva přichází souběžně oběti i útočníkovi. Detekce je možná především auditem propojených zařízení; změny Safety Numbers nebo podezřelé duplicity kontaktů ve skupinách mohou pomoci hlavně u přeregistrace účtu nebo u nově vytvořeného účtu vedle vašeho.

Pět minut, které stojí za to investovat hned teď

Tady je jádro celého textu. Pokud Signal používáte, postupujte podle těchto kroků – ne až někdy, ale v následujících minutách.

1. Audit propojených zařízení. Otevřete Signal, klepněte na svou profilovou ikonu v rohu obrazovky a pokračujte přes Nastavení → Propojená zařízení. Měli byste vidět pouze zařízení, která jste sami připojili – typicky Signal Desktop na svém počítači, případně iPad. Cokoli jiného odpojte. Tuto kontrolu si zařaďte do měsíční rutiny; pokud patříte do citlivějších profesí (novinář, právník, aktivista, představitel veřejné správy), kontrolujte raději jednou týdně.

2. Signal PIN a Registration Lock. Nastavení → Účet. Pokud nemáte PIN, vytvořte ho – ideálně alfanumerický, delší než šest znaků. Hlavně ale zapněte Registration Lock. Bez něj stačí útočníkovi odchytit jeden SMS kód, aby mohl vaše číslo přeregistrovat na svůj telefon. S Registration Lockem to bez vašeho PINu nedokáže. Pozor na detail: Registration Lock se po sedmi dnech nečinnosti uvolňuje, takže aplikaci alespoň jednou týdně otevřete.

3. Safety Numbers u klíčových kontaktů. Každá konverzace má unikátní 60místné bezpečnostní číslo, které slouží k ověření identity protistrany. V detailu kontaktu klepněte na View Safety Number. Ideální ověření je osobní – naskenujete si QR kód protistrany. Když to nejde, použijte jiný kanál, který už máte ověřený (telefon, osobní setkání). Číslo nikdy neposílejte přes Signal samotný a vždy nechte protistranu poslat to své jako první – jinak vám útočník v případě kompromitace pošle zpět vaše vlastní. Safety Numbers nejsou kouzelná detekce každého útoku, ale konzistentní praxe jejich ověřování patří k základní hygieně.

4. Zámek obrazovky a Signal Screen Lock. Silné alfanumerické heslo telefonu (ne čtyřmístný PIN), biometrické odemykání samotného Signalu (Nastavení → Soukromí → Screen Lock) a skrytí náhledů zpráv v notifikacích. Uživatelům iOS, kteří patří do ohrožených skupin, doporučují zpravodajské služby zvážit i Lockdown Mode (Nastavení → Soukromí a zabezpečení).

5. Aktualizace. Verze Signalu vydané po únoru 2025 mají posílenou ochranu před QR phishingem – nový dialog při propojení a důraznější varování. Mějte zapnuté automatické aktualizace.

Jak rozpoznat podvodný QR kód

QR kód sám o sobě nelze vizuálně odlišit jako „dobrý“ nebo „zlý“ – je to jen grafická reprezentace URI. Rozdíl je v kontextu, v jakém vám ho někdo předkládá. Důležité je rozlišovat, k čemu QR kód v Signalu slouží: existují legitimní QR kódy pro vstup do skupiny (Signal je oficiálně podporuje a jejich naskenování pouze přidá vás do skupiny), zatímco QR kódy pro propojení nového zařízení jsou ty, kvůli kterým může dojít k odposlechu.

Jednoduchý test, který funguje vždy: pokud vás jakákoli stránka, e-mail nebo kontakt vede k tomu, abyste skenovali QR kód v nabídce Nastavení → Propojená zařízení, považujte to za útok – pokud ten kód nepochází přímo z vaší vlastní instance Signal Desktop nebo Signal iPad, kterou jste si sami nainstalovali ze signal.org.

Další červené praporky:

  • Někdo vám posílá QR kód „k naskenování z mobilu“. Legitimní QR pro propojení vždy generuje aplikace Signal Desktop ve chvíli, kdy ji sami spustíte. Nikdy obráceně.
  • Tlak na okamžité jednání: „Účet bude deaktivován“, „Pozvánka vyprší za 5 minut“. Signal takový jazyk nepoužívá.
  • Falešná „bezpečnostní výstraha od Signalu“ přes externí web. Signal vás nikdy nežádá o naskenování QR kódu kvůli „ověření“.
  • QR kód z plakátu, fotografie nebo letáku, který vede k propojení Signalu. Nikdy neskenovat.

Co dělat při podezření na kompromitaci

Pokud v seznamu propojených zařízení uvidíte něco, co nepoznáváte, předpokládejte, že útočník čte vaše zprávy od chvíle propojení – a pravděpodobně vidí i část konverzací z předchozích týdnů.

  1. Okamžitě zařízení odpojte klepnutím v seznamu Linked Devices. Tento krok dělejte jako první – ukončí čtení nových zpráv.
  2. Změňte Signal PIN v Nastavení → Účet → Změnit PIN.
  3. Zkontrolujte, že je zapnutý Registration Lock.
  4. Varujte své klíčové kontakty jiným kanálem (telefon, osobně). Útočník mohl vaším jménem psát a zachycovat odpovědi. S kontakty si nově ověřte Safety Numbers.
  5. Změňte hesla služeb, jejichž přihlašovací údaje, 2FA kódy nebo citlivé informace jste přes Signal sdíleli. Vycházejte z předpokladu, že útočník přečetl zprávy od momentu propojení i z předchozího synchronizačního okna.
  6. Zkontrolujte stav telefonu – aktualizace OS, instalované aplikace; v krajním případě zvažte tovární reset a obnovu z čisté zálohy.
  7. Nahlaste incident národnímu CERT (CSIRT.CZ, csirt.cz) nebo Národnímu úřadu pro kybernetickou a informační bezpečnost (nukib.gov.cz), pokud spadáte do citlivé skupiny.

Co si z toho odnést

Několik evropských institucí a zpravodajských služeb během několika týdnů popsalo stejný problém: end-to-end šifrování zůstává funkční, ale samo o sobě nestačí. Útočník, který nedokáže rozbít kryptografii, cílí na rozhraní mezi člověkem a aplikací – na QR kódy, falešnou podporu, PINy a rutinní důvěru.

Praktický důsledek je banálně jednoduchý a notoricky známý: zapnutý Registration Lock, čistý seznam propojených zařízení, ověřená Safety Numbers a zdravá nedůvěra k jakémukoli QR kódu, který přišel zvenčí. Pět minut nastavení teď ušetří hodně dlouhý seznam telefonátů potom.

A ještě jeden upřímný závěr, který zazněl mimo jiné z úst ředitele nizozemské vojenské rozvědky Petra Reesinka v souvislosti s březnovým varováním: ani Signal s end-to-end šifrováním není vhodný kanál pro skutečně utajované, citlivé nebo důvěrné informace. Pro běžnou soukromou komunikaci je výborný. Pro to nejcitlivější existují důvody, proč státy provozují vlastní oddělené, řízené kanály.

Zdroje a další čtení

  • Reuters / AFP, „Germany suspects Russia of Signal phishing attacks targeting politicians“ (25. 4. 2026)
  • AIVD, „Russia targets Signal and WhatsApp accounts in cyber campaign“ (9. 3. 2026)
  • Politico Europe, „Top EU officials’ Signal group chat shut down over hacking fears“ (1. 4. 2026)
  • Google Threat Intelligence Group, „Signals of Trouble: Multiple Russia-Aligned Threat Actors Actively Targeting Signal Messenger“ (únor 2025)
  • Signal Support, oficiální dokumentace funkcí Signal PIN, Registration Lock a Linked Devices
  • EUobserver, „RIP Signal: Russians kill trust in many EU diplomats’ beloved messaging app“ (cit. ceny šedého trhu jako údaje z anonymních zdrojů)

Přejít nahoru