Tiché sledovanie správania používateľov komunikačných aplikácií a jeho význam pre ochranu kritickej infraštruktúry
V decembri 2025 bol zverejnený praktický dôkaz zraniteľnosti komunikačných aplikácií WhatsApp a Signal, ktorý umožňuje tiché sledovanie správania používateľov výlučne na základe znalosti ich telefónneho čísla.
Nejde o prelomenie šifrovania ani o kompromitáciu účtov. Ide o zneužitie vlastností doručovacích mechanizmov týchto aplikácií, ktoré umožňujú nepriamu analýzu správania používateľa bez jeho vedomia.
Zraniteľnosť vychádza zo spôsobu, akým aplikácie potvrdzujú prijatie sieťových paketov. Potvrdenie prijatia je odoslané ešte pred tým, než aplikácia overí, či správa alebo reakcia na správu skutočne existuje. V praxi to znamená, že útočník môže odosielať špeciálne reakcie na neexistujúce správy, pričom cieľové zariadenie odpovedá bez toho, aby sa používateľovi zobrazilo akékoľvek upozornenie alebo stopa v používateľskom rozhraní.
Meraním času odozvy medzi odoslaním požiadavky a prijatím potvrdenia je možné dlhodobo sledovať zmeny v správaní zariadenia. Tieto časové charakteristiky sa výrazne líšia v závislosti od toho, či je zariadenie aktívne alebo v pohotovostnom režime, či je pripojené cez Wi‑Fi alebo mobilnú sieť, prípadne či sa používateľ pohybuje. Pri systematickom meraní je možné s vysokou mierou pravdepodobnosti určiť obdobia aktivity, nečinnosti, spánku, pohybu alebo úplného vypnutia zariadenia.
Z praktického hľadiska ide o formu behaviorálneho profilovania. Neumožňuje čítať obsah komunikácie, no umožňuje rekonštruovať denné rutiny, zvyklosti a dostupnosť konkrétnej osoby. V kombinácii s vysokou frekvenciou sondovania má tento mechanizmus aj sekundárne dôsledky v podobe zvýšenej spotreby batérie a mobilných dát, čo môže viesť k zníženiu dostupnosti zariadenia v kritických situáciách bez toho, aby si to používateľ okamžite všimol.
Z pohľadu ochrany kritickej infraštruktúry je dôležité zdôrazniť, že hrozba sa netýka samotných technických systémov aplikácií, ale osôb, ktoré kritickú infraštruktúru navrhujú, prevádzkujú a riadia. Prevádzkový personál energetických sietí, dopravy, vodného hospodárstva, telekomunikácií, zdravotníctva, štátnej správy a obrany predstavuje legitímny cieľ spravodajských a hybridných aktivít.
Stanovisko AKI
Asociácia kritickej infraštruktúry Slovenskej republiky považuje zistenia týkajúce sa tichého behaviorálneho sledovania používateľov komunikačných aplikácií za relevantné z hľadiska ochrany kritickej infraštruktúry a jej personálu. AKI SR upozorňuje, že úniky metadát a časových charakteristík komunikácie môžu mať významnú spravodajskú hodnotu, a to aj v prípadoch, keď je samotný obsah komunikácie silno šifrovaný.
Masovo používané komunikačné aplikácie predstavujú technologickú a prevádzkovú závislosť, ktorú je potrebné zohľadňovať pri hodnotení rizík podľa smernice NIS2 a súvisiacich regulačných rámcov. Ochrana kritickej infraštruktúry sa nemôže obmedzovať výlučne na technické systémy, ale musí zahŕňať aj ochranu dostupnosti, správania a rutín kľúčového personálu.
AKI SR odporúča, aby prevádzkovatelia kritickej infraštruktúry zohľadnili tieto typy hrozieb v rámci analýz rizík, politík používania mobilných zariadení a hodnotení digitálnych závislostí.
