WhatsApp má bezpečnostní „díru“, o níž většina Čechů neví. Vaše nahé fotky i zprávy pak zůstávají nešifrované

Cloudové zálohy WhatsAppu nemají ve výchozím stavu stejnou ochranu jako běžné zprávy. A právě tam končí vaše nejcitlivější konverzace.

Zdroj fotografie: Pexels

Když jsme v redakci Mobify v rámci neformální ankety mezi čtenáři položili otázku, zda vědí o volitelném šifrování záloh ve WhatsAppu, přibližně osm z deseti dotázaných odpovědělo, že o ničem takovém neslyšeli. Přitom jde o nastavení, které zásadně mění osud všeho, co jste kdy v aplikaci poslali: intimních fotek, hlasových zpráv i celých konverzací. WhatsApp totiž zprávy a hovory chrání koncovým šifrováním automaticky, takže je po cestě nikdo nepřečte. Jenže ve chvíli, kdy se chat zazálohuje do iCloudu nebo na Google Drive, tato ochrana přestává platit. Pokud uživatel ručně nezapne funkci end-to-end šifrovaných záloh, klíč k jeho datům drží Apple nebo Google, nikoli on sám. A to je ta „díra“, o které se příliš nemluví.

Dvě vrstvy ochrany, které si lidé pletou

WhatsApp obsluhuje přes tři miliardy uživatelů a každý z nich komunikuje pod ochranou koncového šifrování. Zpráva opustí váš telefon zašifrovaná a dešifruje se až na zařízení příjemce. Ani Meta, ani váš operátor ji po cestě nevidí. Tohle funguje spolehlivě a automaticky.

Problém nastává o krok dál. Většina uživatelů má zapnuté automatické zálohování chatů, buď do iCloudu na iPhonu, nebo na Google Drive u Androidu. Záloha obsahuje kompletní historii: texty, fotky, videa i hlasové zprávy. Jenže tato kopie se už neřídí šifrováním WhatsAppu, ale bezpečnostním modelem cloudového poskytovatele. Ve standardním režimu iCloudu může Apple k záloze přistupovat (například pro obnovu účtu či služby). Google u Google Drive data šifruje při přenosu i uložení, ale klíče k nim nejsou výhradně v rukou uživatele. Výsledek? Vaše zprávy i fotografie mohou ležet v cloudu pod správou třetí strany.

Kdo se k datům dostane

Nejde o to, že by si zálohy mohl přečíst kdokoli na internetu. Reálné scénáře jsou konkrétnější:

• Cloudový poskytovatel – Apple může v určitých režimech a situacích přistupovat k zálohám, zejména při obnově účtu. Google má obdobné možnosti v rámci správy Google účtu a Drive.
• Zákonná žádost úřadů – Apple i Google vyřizují žádosti orgánů činných v trestním řízení. Apple to popisuje ve svých pokynech pro orgány mimo USA, Google má vlastní pravidla pro vládní žádosti. České úřady mohou takovou žádost podat přes mechanismus mezinárodní právní pomoci.
• Převzetí účtu – pokud někdo získá přístup k vašemu Apple ID nebo Google účtu přes phishing nebo slabé heslo, může se dostat i k nezabezpečeným zálohám.

Žádný z těchto scénářů nevyžaduje prolomení WhatsAppového šifrování. Stačí obejít jeho ochranu přes cloud.

Jak tuto bezpečnostní „díru“ zavřít za 2 minuty

Meta funkci end-to-end šifrovaných záloh představila už v říjnu 2021 a od roku 2025 ji výrazně zjednodušila zavedením passkeys. Dříve bylo nutné si pamatovat heslo nebo 64místný šifrovací klíč. Dnes stačí biometrika nebo kód zámku obrazovky.

Postup je přímočarý: Nastavení → Chaty → Záloha chatů → Záloha šifrovaná end-to-end a zapnout. Celý proces zabere méně než minutu. Po aktivaci neuvidí obsah zálohy ani WhatsApp, ani Apple, ani Google. Klíč zná výhradně uživatel.

Důležitý krok navíc: odstranit staré nešifrované zálohy. Na Androidu to jde přes Google One, v sekci správy úložiště najdete WhatsApp zálohy a smažete je. Na iPhonu lze v nastavení iCloud Backup vypnout zálohování WhatsAppu, čímž se podle Apple Support odstraní i existující zálohovaná data aplikace z cloudu. Kdo cloudu nevěří vůbec, může na iPhonu zálohovat lokálně do Macu nebo PC přes Finder (případně iTunes) s vlastním šifrováním.

Jak si stojí konkurence

Srovnání s dalšími komunikátory ukazuje, že WhatsApp není jediný, kdo řeší zálohy odděleně od chatů, ale zároveň i to, že existují přísnější přístupy:

Aplikace	Šifrování chatů	Šifrování záloh
WhatsApp	E2EE ve výchozím stavu	Volitelné, nutné ručně zapnout
Signal	E2EE ve výchozím stavu	Secure Backups s recovery key, bez klíče nepřečte ani Signal
Telegram	E2EE jen u tajných chatů	Běžné chaty v cloudu Telegramu bez E2EE

Signal je v tomto ohledu nejpřísnější: zálohy jsou šifrované tak, že bez obnovovacího klíče nejsou čitelné ani samotnou službou. Telegram je naopak nejslabší, protože běžné konverzace nejsou end-to-end šifrované vůbec a jsou uloženy v jeho cloudu tak, že k nim má provozovatel přístup.

Proč to WhatsApp nezapne automaticky všem

Nabízí se logická otázka: když funkce existuje od roku 2021, proč ji Meta nenasadila jako výchozí? Jde o kompromis mezi soukromím a uživatelským komfortem. Zapnuté end-to-end šifrování záloh znamená, že při ztrátě hesla, passkey i 64místného klíče přijdete o celou historii chatů nenávratně. Ani WhatsApp, ani Apple, ani Google vám nepomohou.

Pro miliardy běžných uživatelů, kteří si občas zapomenou heslo, by to byl reálně katastrofický scénář. Meta proto volí opt-in přístup a postupně snižuje bariéru: nejdřív heslo, pak 64místný klíč, teď passkey přes biometriku.

Jenže právě tahle opatrnost vytváří situaci, kdy většina lidí žije v přesvědčení, že „WhatsApp je přece šifrovaný“, a nikdy se nepodívá do nastavení záloh. Funkce existuje. Je zdarma. Zabere minutu. A přesto ji podle všeho nemá zapnutou velká část uživatelů, včetně těch, kteří přes WhatsApp posílají to nejcitlivější, co mají.