Váš telefon lze hacknout bez jediného kliknutí: iOS i Android mají ale režim, který to zastaví

V září 2023 laboratoř Citizen Lab potvrdila, že Režim blokování na iPhone zablokoval konkrétní zero-click útok spywaru Pegasus, bez jediné akce uživatele.

Zdroj fotografie: Pexels

Představte si zprávu, která dorazí do iMessage. Žádná notifikace k potvrzení, žádný odkaz ke kliknutí. Telefon ji zpracuje sám, a v tu chvíli je pozdě. Přesně tak fungoval exploit FORCEDENTRY, který Citizen Lab popsal už v roce 2021: útočník poslal speciálně upravený obrázek, systémová knihovna pro renderování ho otevřela automaticky a spyware Pegasus se usadil v zařízení. Oběť se o tom nedozvěděla. Dnes, v roce 2026, mají uživatelé obou velkých platforem v nastavení telefonu přepínač, který útočnou plochu pro takové útoky dramaticky zmenšuje. Jenže za to zaplatíte komfortem.

Co je zero-click útok a proč je tak nebezpečný

Klasický phishing potřebuje vaši spolupráci: klikněte na odkaz, otevřete přílohu. Zero-click útok nevyžaduje žádnou interakci. Zneužívá chybu v aplikaci nebo systémových komponentách, která příchozí data zpracuje automaticky: zprávy, hovory, přílohy, náhledy odkazů, renderovací knihovny. Amnesty International Security Lab v rámci projektu Pegasus doložila, že se tímto způsobem infikovaly desítky iPhonů novinářů, aktivistů a politických oponentů po celém světě. Telefon se stal odposlouchávacím zařízením: mikrofon, kamera, poloha, zprávy, vše v reálném čase.

Typické oběti nejsou náhodní lidé. Jsou to investigativní novináři, lidskoprávní aktivisté, členové politických kampaní, právníci s citlivými klienty. Hodnota útoku je v síti kontaktů a v obsahu komunikace. Tyto ochrany ale nabízí i komukoli, kdo prostě chce maximální zabezpečení.

iPhone: Režim blokování jako tvrdý štít

Apple představil Režim blokování (Lockdown Mode) s iOS 16 a od té doby ho průběžně aktualizuje. Zapnete ho v Nastavení → Soukromí a zabezpečení → Režim blokování. Po potvrzení se telefon restartuje a začne fungovat v osekaném režimu.

O co konkrétně přijdete:

• Většina příloh ve Zprávách se zablokuje, zmizí náhledy příloh
• FaceTime od lidí, se kterými jste dosud nekomunikovali, neprojde
• SharePlay a Live Photos ve FaceTime nefungují
• Sdílená alba ve Fotkách zmizí, pozvánky do některých služeb Apple se zablokují
• Safari omezí část webových technologií, některé stránky se mohou zobrazit špatně
• Připojení přes 2G a 3G se omezí, telefon se nepřipojí k nezabezpečené Wi-Fi
• Konfigurační profily a nové MDM nelze nainstalovat
• Kabelové připojení k počítači vyžaduje odemčený telefon

Omezení jsou citelná. Apple sám uvádí, že většina lidí se terčem sofistikovaného spywaru nikdy nestane. Jenže pro ty, kteří se terčem stát mohou, má režim doložený efekt. Citizen Lab u exploitu BLASTPASS v září 2023 potvrdil, že Režim blokování tento konkrétní útok Pegasu zastavil. V dalších kampaních laboratoře nenašel jediný případ úspěšné infekce zařízení s aktivním režimem. To není garance nezranitelnosti, ale je to nejsilnější veřejně doložená obrana, kterou dnes mobilní platforma nabízí.

Android: Pokročilá ochrana se širším záběrem

Google zvolil jinou filozofii. Místo jednoho tvrdého řezu skládá pod přepínač Pokročilá ochrana (Advanced Protection) více bezpečnostních vrstev najednou. Najdete ji v Nastavení → Zabezpečení a ochrana soukromí → Pokročilá ochrana → Ochrana zařízení. Podmínkou je aktivní zámek obrazovky.

Co se po zapnutí změní:

• Play Protect se vynucuje a nelze vypnout
• Instalace aplikací z neznámých zdrojů se zablokuje
• Připojení přes 2G se zakáže
• USB datové spojení při zamčené obrazovce nefunguje (na Pixelech)
• Google Messages dostanou vyšší ochranu proti starším útokům přes Chrome
• U podporovaných zařízení se používá Memory Tagging Extension (MTE) pro detekci paměťových chyb

Dopad na každodenní používání je mírnější než u Applu. Google sám režim popisuje jako nenáročný na uživatele; problém nastane hlavně těm, kteří instalují aplikace mimo Google Play nebo potřebují 2G síť. Novinkou roku 2026 je protokolování průniků (Intrusion Logging): systém zaznamenává bezpečnostní události do šifrovaného logu, který lze pomocí odborníků analyzovat při podezření na kompromitaci. Na tento návrh vrstvy odkazuje Amnesty International Security Lab. Android tak staví nejen prevenci, ale i forenzní nástroj pro vyšetřování po incidentu.

Háček? Veřejně zdokumentovaný případ, kdy Pokročilá ochrana prokazatelně odrazila konkrétní zero-click útok, zatím chybí. Funkce je příliš nová na to, aby měla srovnatelnou historii ověřených výsledků jako Apple.

Český kontext: stopy Pegasu bez potvrzení

V únoru 2023 investigativní novinář Jaroslav Kmenta v Reportéru popsal údajné stopy Pegasu v telefonu pracovníka Kanceláře prezidenta republiky. iROZHLAS o rok a půl později doplnil, že není jasné, kdo za napadením stál, a stát používání podobných nástrojů veřejně neobjasňuje. Nezávislý forenzní protokol nebyl zveřejněn. Český případ tak zůstává na úrovni investigativního tvrzení, nepotvrzené kauzy.

Režim nestačí, ale je to nejlepší první krok

Ani jeden režim není magický štít. Apple i Google doporučují průběžné aktualizace systému, silné odemykání a minimální instalaci neznámých aplikací. U vysoce rizikových osob přichází v úvahu i odborná bezpečnostní pomoc. Režim blokování nebo Pokročilá ochrana jsou jedna vrstva, ale v roce 2026 poprvé vrstva, kterou si zapnete v nastavení a která má reálné důkazy, že funguje.

Kdo stojí před volbou: na iPhone dostanete tvrdší ochranu s tvrdšími kompromisy a doloženou historií odražených útoků. Na Androidu širší sadu obranných vrstev s menším dopadem do pohodlí, ale bez srovnatelného veřejného důkazu. Obojí je lepší než nic.